【活用ガイド】

JVNDB-2013-004661

Oracle Outside In にバッファオーバーフローの脆弱性

概要

Oracle Outside In には、Microsoft Access 1.x のデータベースファイルの解析処理にスタックバッファオーバーフローの脆弱性が存在します。

Oracle Outside In は、500 以上のファイル形式をデコードするためのライブラリです。Oracle Outside In には、Microsoft Access 1.x のデータベースファイルの解析処理に問題があり、スタックバッファオーバーフロー (CWE-121) の脆弱性が存在します。

 CWE-121:
 http://cwe.mitre.org/data/definitions/121.html
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 1.5 (注意) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的
影響を受けるシステム


IBM
  • IBM Connections 4.0
  • IBM Connections 4.5
  • IBM Connections 3.0.1.1 およびそれ以前
  • IBM Content Collector 4.0.0.1-ICC-FP001 未満の 4.0
  • IBM WebSphere Portal 6.0.0.1 未満の 6.0.0
  • IBM WebSphere Portal 6.0.1
  • IBM WebSphere Portal 6.1.0.6 CF27 未満の 6.1.0
  • IBM WebSphere Portal 6.1.5.3 CF27 未満の 6.1.5
  • IBM WebSphere Portal 7.0.0.2 CF25 未満の 7
  • IBM WebSphere Portal 8.0.0.1 CF08 未満の 8
オラクル
  • Oracle Fusion Middleware の Oracle Outside In Technology 8.4.0
  • Oracle Fusion Middleware の Oracle Outside In Technology 8.4.1
マイクロソフト
  • Microsoft Exchange Server 2007 SP3
  • Microsoft Exchange Server 2010 SP2
  • Microsoft Exchange Server 2010 SP3
  • Microsoft Exchange Server 2013 の累積更新プログラム 2
  • Microsoft Exchange Server 2013 の累積更新プログラム 3

IBM WebSphere Portal をアップグレード後に Interim Fix PI07290 を適用する必要があります。詳細については 1660640 をご確認ください。
想定される影響

細工されたファイルを Oracle Outside In が処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。
対策

[アップデートする]
Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。
本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

 * Enhanced Mitigation Experience Toolkit (EMET) を適用する
  https://support.microsoft.com/kb/2458544/ja
 * Data Execution Prevention (DEP) を有効にする
  http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx
ベンダ情報

IBM
  • IBM Support Document : 1661474
  • IBM Support Document : 1660640
  • IBM Support Document : 1669459
  • IBM セキュリティー情報 : 1660774
  • IBM セキュリティー情報 : 1670911
オラクル マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
  2. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-5791
参考情報

  1. JVN : JVNVU#92570654
  2. National Vulnerability Database (NVD) : CVE-2013-5791
  3. JPCERT 注意喚起 : JPCERT-AT-2013-0047
  4. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS13-096,097,098,099,100,101,102,103,104,105,106)
  5. US-CERT Vulnerability Note : VU#953241
  6. IPA 緊急対策情報 : Microsoft 製品の脆弱性対策について(12月)
更新履歴

  • [2013年10月17日]
      掲載
    [2013年10月18日]
      タイトル:内容を更新
      概要:内容を更新
      想定される影響:内容を更新
      対策方法:内容を更新
      ベンダ情報:オラクル (Oracle Outside In Technology) を追加
      ベンダ情報:オラクル (オラクルとStellent) を追加
      参考情報:JVN (JVNVU#92570654) を追加
      参考情報:US-CERT Vulnerability Note (VU#953241) を追加
    [2013年12月12日]
      影響を受けるシステム:マイクロソフト (MS13-105) の情報を追加
      ベンダ情報:マイクロソフト (MS13-105) を追加
      ベンダ情報:マイクロソフト (Assessing risk for the December 2013 security updates) を追加
      参考情報:IPA 緊急対策情報 (Microsoft 製品の脆弱性対策について(12月)) を追加
      参考情報:JPCERT 注意喚起 (JPCERT-AT-2013-0047) を追加
      参考情報:警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS13-096,097,098,099,100,101,102,103,104,105,106)) を追加
    [2014年02月20日]
      影響を受けるシステム:IBM (1660640) の情報を追加
      影響を受けるシステム:IBM (1661474) の情報を追加
      ベンダ情報:IBM (1660640) を追加
      ベンダ情報:IBM (1661474) を追加
      ベンダ情報:IBM (1660774) を追加
    [2014年02月21日]
      影響を受けるシステム:内容を更新
    [2014年06月27日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:IBM (1669459) を追加
      ベンダ情報:IBM (1670911) を追加

公表日2013/10/15
登録日2013/10/17
最終更新日2014/06/27