【活用ガイド】

JVNDB-2005-000264

Oracle 製品における Query/Where を利用した任意の SQL コマンドを実行される脆弱性

概要

------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------

Oracle Application Server 10g Release 2 v10.1.2 以前、Oracle Database 10g Release 1 v10.1.0.4 以前には、以下のような複数のセキュリティ問題が存在します。

・Oracle Database Server の問題
- Change Data Capture の問題 (DB01、DB02)
- Data Pump の問題 (DB03)
- Intermedia の問題 (DB04)
- Authentication の問題 (DB05)
- Database SSL Library の問題 (DB06)
- Internet Directory の問題 (DB07)
- Spatial の問題 (DB08)
- XML Database の問題 (DB09)
- XDK の問題 (DB10)
- HTML DB の問題 (DB11)
- Oracle HTTP Server の問題 (DB12、DB13、DB14、DB15、DB16、DB17)
- Oracle HTTP Server (SSL) の問題
  (DB18、DB19、DB20、DB21、DB22、DB23、DB24)

・Oracle Application Server の問題
- Forms の問題 (AS01)
- mod_jserv の問題 (AS02)
- Oracle HTTP Server の問題 (AS03、AS04、AS05、AS06、AS07、AS08、AS09)
- Oracle Help の問題 (AS10)
- Oracle HTTP Server (SSL) の問題
  (AS11、AS12、AS13、AS14、AS15、AS16、AS17)
- Wireless の問題 (AS18)

Oracle より問題が公表された 2005 年 4 月 13 日現在、これらの問題の多くは詳細不明ですが、リモート/ローカルの攻撃者は、セキュリティ脅威を引き起こす可能性があります。

ただし、Forms の問題 (AS01) に関しては、発見元である Red Database Security より詳細情報が公開されています。
開発ツール Oracle Forms における SQL インジェクションの問題を利用することにより、DBA 権限を有する悪意あるローカルユーザは、Oracle Forms を使用して任意のデータベース内のデータ操作を実行できる可能性があります。

尚、Oracle 社では、上記 Oracle Application Server および Oracle Database Server のセキュリティ問題の他に、以下の製品の問題を併せて報告しています。

・Oracle Collaboration Suite
・Oracle E-Business and Applications
・Oracle Enterprise Manager Grid Control
・Oracle PeopleSoft Applications
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


オラクル
  • Oracle Application Server 9.0.3.1
  • Oracle Application Server 9.0.2.3
  • Oracle Application Server 1.0.2.2
  • Oracle Application Server 9.0.4.1 およびそれ以前
  • Oracle Application Server 10.1.2
  • Oracle Database 8.1.7.4
  • Oracle Database 9.0.1.5 およびそれ以前
  • Oracle Database 9.0.4
  • Oracle Database 9.2.0.6 およびそれ以前
  • Oracle Database 10.1.0.4 およびそれ以前

想定される影響

本脆弱性に伴う影響については、「概要」をご参照ください。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

オラクル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2005-1178
参考情報

  1. National Vulnerability Database (NVD) : CVE-2005-1178
  2. US-CERT Vulnerability Note : VU#982109
  3. Secunia Advisory : SA14935
  4. SecurityFocus : 13236
  5. SecurityFocus : 13239
  6. SecurityFocus : 13145
  7. SecurityFocus : 13144
  8. SecurityFocus : 13139
  9. SecurityFocus : 13134
更新履歴

  • [2007年04月01日]
      掲載

公表日2005/04/13
登録日2007/04/01
最終更新日2007/04/01