【活用ガイド】

JVNDB-2005-000617

Oracle Database の PL/SQL コンポーネントにおける脆弱性 (DB01)

概要

------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------

Oracle Application Server および Oracle Database には、以下の複数のセキュリティ上の問題が存在します。

1) Oracle Application Server の問題
・OC4J Module の問題 (AS01)
・Oracle Containers for J2EE の問題 (AS02)
・Oracle HTTP Server の問題 (AS04)
・Oracle Internet Directory の問題 (AS07)
・Report Server の問題 (AS09)
・SQL*ReportWriter の問題 (AS10)
・Web Cache の問題 (AS11, AS12, AS13, AS14)

2) Oracle Database の問題
・PL/SQL の問題 (DB01)
・Change Data Capture の問題 (DB02 〜 DB05)
・Data Guard Logical Standby の問題 (DB06)
・Data Pump Exportの問題 (DB07)
・Database Scheduler の問題 (DB08)
・Export の問題 (DB09)
・Locale の問題 (DB10)
・Materialized Views の問題 (DB11, DB12)
・Objects Extension の問題 (DB13)
・Oracle Intelligent Agent の問題 (DB14)
・Oracle Label Security の問題 (DB15)
・Oracle Security Service の問題 (DB16)
・Oracle Spatial の問題 (DB17 〜 DB25)
・Programmatic Interface の問題 (DB26)
・Security の問題 (DB27)
・Workspace Manager の問題 (DB28, DB29)
・Oracle Agent の問題 (EM01)

3) Oracle Application Server および Oracle Database の問題
・Oracle HTTP Server の問題 (AS03, DB30)
・Oracle HTTP Server の問題 (AS05, DB31)
・Oracle Internet Directory の問題 (AS06, DB32)
・Oracle Single Sign-On の問題 (AS08, DB33)
・Oracle Workflow Cartridge の問題 (AS15 〜 AS19, DB34 〜 DB38)

現時点ではこれらの問題の詳細は公開されていませんが、リモート/ローカルの攻撃者により、サービス不能攻撃、任意のコマンドの実行、SQL インジェクション攻撃などに悪用される可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


オラクル
  • Oracle Application Server 9.0.3.1
  • Oracle Application Server 9.0.2.3
  • Oracle Application Server 1.0.2.2
  • Oracle Application Server 9.0.4.2 およびそれ以前
  • Oracle Application Server 10.1.2.0.2 およびそれ以前
  • Oracle Database 9.2.0.7 およびそれ以前
  • Oracle Database 9.0.1.5 およびそれ以前
  • Oracle Database 8.1.7.4
  • Oracle Database 8.0.6.3
  • Oracle Database 10.1.0.4.2
  • Oracle Database 10.1.0.4 およびそれ以前

想定される影響

本脆弱性に伴う影響については、「概要」をご参照ください。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

オラクル
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2005-3437
参考情報

  1. JVN : JVNTA05-292A
  2. JVN Status Tracking Notes : TRTA05-292A
  3. National Vulnerability Database (NVD) : CVE-2005-3437
  4. US-CERT Vulnerability Note : VU#210524
  5. US-CERT Technical Cyber Security Alert : TA05-292A
  6. SecurityFocus : 15134
  7. SecurityFocus : 15146
更新履歴

  • [2007年04月01日]
      掲載

公表日2005/10/18
登録日2007/04/01
最終更新日2007/04/01