JVNDB-2012-002234
|
Oracle データベース TNS リスナーに脆弱性
|
|
Oracle データベースコンポーネントの TNS リスナーには、遠隔の第三者が認証なしにデータベースサービスを登録できる脆弱性が存在します。
詳しくは、Oracle が提供する Oracle Security Alert for CVE-2012-1675 (http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html) をご確認ください。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
オラクル
- Oracle Database 11g Release 1, version 11.1.0.7
- Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5
- Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3, 11.2.0.4
|
Oracle によると、Oracle データベースコンポーネントを含む Oracle Fusion Middleware, Oracle Enterprise Manager, Oracle E-Business Suite も本脆弱性の影響を受けるとのことです。
詳しくは、Oracle が提供する Oracle Security Alert for CVE-2012-1675 をご確認ください。
|
|
遠隔の第三者によって、既に登録済みのデータベースインスタンス名を使ってサービスを登録され、中間者攻撃が行なわれる可能性があります。
|
|
2012年5月2日現在、有効な対策はありません。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* Class of Secure Transport (COST) を使用し、インスタンス登録を制限する
詳しくは、Oracle が提供する Oracle Security Alert for CVE-2012-1675 (http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html) をご確認ください。
|
|
openSUSE project
オラクル
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
|
- CVE-2012-1675
|
|
- JVN : JVNVU#359816
- National Vulnerability Database (NVD) : CVE-2012-1675
- US-CERT Vulnerability Note : VU#359816
|
|
- [2012年05月08日]
掲載
[2012年05月11日]
CVSS による深刻度:基本値と脆弱性評価基準を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
ベンダ情報:オラクル (Security Alert for CVE-2012-1675 Released)
[2012年07月25日]
ベンダ情報:openSUSE (SUSE-SU-2012:0765) を追加
[2014年06月23日]
影響を受けるシステム:内容を更新
|
