JVNDB-2013-004963

Oracle Outside In にバッファオーバーフローの脆弱性

Oracle Outside In には、OS/2 のメタファイルの解析処理にスタックバッファオーバーフローの脆弱性が存在します。

Oracle Outside In は、500 以上のファイル形式をデコードするためのライブラリです。Oracle Outside In には、OS/2 のメタファイルの解析処理に問題があり、スタックバッファオーバーフロー (CWE-121) の脆弱性が存在します。

CWE-121: Stack-based Buffer Overflow
http://cwe.mitre.org/data/definitions/121.html

Oracle Outside In を使用しているアプリケーションが本脆弱性の影響を受ける可能性があります。
詳しくは、各開発者が提供する情報をご確認ください。

IBM

• IBM Connections 4.0
• IBM Connections 4.5
• IBM Connections 3.0.1.1 およびそれ以前
• IBM Content Collector 4.0.0.1-ICC-FP001 未満の 4.0
• IBM WebSphere Portal 6.0.0.1 未満の 6.0.0
• IBM WebSphere Portal 6.0.1
• IBM WebSphere Portal 6.1.0.6 CF27 未満の 6.1.0
• IBM WebSphere Portal 6.1.5.3 CF27 未満の 6.1.5
• IBM WebSphere Portal 7.0.0.2 CF25 未満の 7
• IBM WebSphere Portal 8.0.0.1 CF08 未満の 8

（複数のベンダ）

• （複数の製品）

マイクロソフト

• Microsoft Exchange Server 2007 SP3
• Microsoft Exchange Server 2010 SP2
• Microsoft Exchange Server 2010 SP3
• Microsoft Exchange Server 2013 の累積更新プログラム 2
• Microsoft Exchange Server 2013 の累積更新プログラム 3

IBM WebSphere Portal をアップグレード後に Interim Fix PI07290 を適用する必要があります。詳細については 1660640 をご確認ください。

細工されたファイルを Oracle Outside In が処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。

[アップデートする]
Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。
本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

　* Enhanced Mitigation Experience Toolkit (EMET) を適用する
　　https://support.microsoft.com/kb/2458544/ja
　* Data Execution Prevention (DEP) を有効にする
　　http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx

IBM

• IBM Support Document : 1660640
• IBM Support Document : 1661474
• IBM Support Document : 1669459
• IBM セキュリティー情報 : 1660774
• IBM セキュリティー情報 : 1670911

オラクル

• Oracle : Oracle Outside In Technology (英語)
• Oracle : Oracle and Stellent
• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2013
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2013 Risk Matrices
• Oracle JAPAN : Oracle Outside In Technology (日本語)
• Oracle JAPAN : オラクルとStellent
• SECURITY BLOG : October 2013 Critical Patch Update Released

マイクロソフト

• Microsoft Security Bulletin : MS13-105
• Security Research and Defense Blog : Assessing risk for the December 2013 security updates
• マイクロソフト セキュリティ情報 : MS13-105

1. その他(CWE-Other) [IPA評価]
2. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2013-5763

1. JVN : JVNVU#98285660
2. National Vulnerability Database (NVD) : CVE-2013-5763
3. JPCERT 注意喚起 : JPCERT-AT-2013-0047
4. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS13-096,097,098,099,100,101,102,103,104,105,106)
5. US-CERT Vulnerability Note : VU#959313
6. IPA 緊急対策情報 : Microsoft 製品の脆弱性対策について(12月)

• [2013年11月05日]
    掲載
  [2013年11月12日]
    CWE による脆弱性タイプ一覧：内容を更新
  [2013年12月12日]
    影響を受けるシステム：マイクロソフト (MS13-105) の情報を追加
    ベンダ情報：マイクロソフト (MS13-105) を追加
    ベンダ情報：マイクロソフト (Assessing risk for the December 2013 security updates) を追加
    参考情報：IPA 緊急対策情報 (Microsoft 製品の脆弱性対策について(12月)) を追加
    参考情報：JPCERT 注意喚起 (JPCERT-AT-2013-0047) を追加
    参考情報：警察庁 @police (マイクロソフト社のセキュリティ修正プログラムについて(MS13-096,097,098,099,100,101,102,103,104,105,106)) を追加
  [2013年12月16日]
    CVSS による深刻度：内容を更新
    CWE による脆弱性タイプ一覧：CWE-ID を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2013-5763) を追加
  [2014年02月20日]
    影響を受けるシステム：IBM (1660640) の情報を追加
    影響を受けるシステム：IBM (1661474) の情報を追加
    ベンダ情報：IBM (1660640) を追加
    ベンダ情報：IBM (1661474) を追加
    ベンダ情報：IBM (1660774) を追加
  [2014年02月21日]
    影響を受けるシステム：内容を更新
  [2014年06月27日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：IBM (1669459) を追加
    ベンダ情報：IBM (1670911) を追加