JVNDB-2004-000352
|
Oracle Database のトリガにおける SQL インジェクションの脆弱性
|
|
------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------
Oracle Application Server 10g v9.0.4.1 以前、Oracle Database 10g Release 1 v10.1.0.2 以前には、複数のセキュリティ上の不備が存在します。
ベンダよりこれらの問題の詳細は公開されておりませんが、バッファオーバーフローや SQL インジェクションなどの問題が存在することが発見者により報告されており、リモート/ローカルの攻撃者により、結果として Oracle Application Server または Database Server がサービス不能状態に陥る、あるいは任意のコード実行などにより、データベース、あるいは最悪の場合、サーバの管理者権限 (Windows の場合、Local SYSTEM 権限) を奪取されてしまう可能性があります。
尚、今回のセキュリティ問題には、Oracle Enterprise Manager の問題も含まれていること、また、Oracle Collaboration Suite および Oracle E-Business Suite 11i のユーザに関しても、問題を抱える Oracle Application Server および Database Server を使用している場合には、今回の問題による影響を受けることがベンダより報告されています。
また、下記の製品に関しては、これらの問題の影響を受けないことが報告されています。
・Oracle Database 10g Release 1 v10.1.0.3
・Oracle Enterprise Manager Grid Control 10g v10.1.0.3
・Oracle Application Server 10g v9.0.4.2
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
オラクル
- Oracle Application Server 9.0.4.1 およびそれ以前
- Oracle Database 10.1.0.2 およびそれ以前
|
|
|
本脆弱性に伴う影響については、「概要」をご参照ください。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
オラクル
- Oracle Security Alert : #68
- OTN セキュリティ・アラート : #68
|
|
|
|
- CVE-2004-1339
|
|
- JVN : JVNTA04-245A
- JVN Status Tracking Notes : TRTA04-245A
- National Vulnerability Database (NVD) : CVE-2004-1339
- JPCERT REPORT : JPCERT-WR-2004-3501
- 警察庁 @police : Oracle Server製品に関するセキュリティの脆弱性
- US-CERT Vulnerability Note : VU#435974
- US-CERT Vulnerability Note : VU#170830
- US-CERT Vulnerability Note : VU#316206
- US-CERT Technical Cyber Security Alert : TA04-245A
- CIAC Bulletins : O-209
- SecurityFocus : 11120
- SecurityFocus : 10871
|
|
|
