データベースメーカーの米Oracleは24日(米国時間)、同社製品で新たに見つかった3カ所の欠陥を顧客に警告するとともに、同社のアプリケーションサーバを悪用する4つ目の欠陥に関しても改めて注意を促した。
今回発表されたなかで最も深刻な2つの脆弱性は、「E-Business Suite」という、会計からイントラネットまでのあらゆるものの管理を行う同社のサーバアプリケーションのなかに存在する。Oracleでは、両方とも最も深刻度が高い脆弱性としている。
同社のセキュリティ製品管理ディレクター、John Heimannは、「当社のランク付けシステムは、悪用される可能性と、悪用された場合の被害の危険性に基づいて決められている。いずれの欠陥も悪用されて被害につながる可能性を秘めている」と語っている。
Oracleはこれら4つすべての脆弱性に対して勧告を出し、パッチを用意している。
E-Business Suiteで見つかった欠陥のうち、1番めのほうは、セキュリティのかかっていないJavaサーバページが引き起こすもので、どのユーザーでもこのソフトウェアのコンフィギュレーションやホストシステムの情報を見ることができてしまう。2番目のの欠陥は、バッファオーバーフローで、同スイートのコンポーネントをクラッシュさせ、攻撃者がそのシステム上でコードを実行できるようになる可能性がある。
同社のデータベースサーバで見つかったこの欠陥は、攻撃者がシステムに悪影響を及ぼすコードを実行できるようにしてしまうが、これは攻撃者がすでにそのシステムのデータベース管理者特権を持っている場合に限られる。このようなタイプの攻撃で最も懸念されるのは、社内の人間がより高いレベルの管理者特権を入手できてしまうことである。
Oracleはまた、ファイルを読んだり Javaサーバページのソースコードを見ることができてしまうアプリケーションサーバの複数の欠陥についても、重ねて警告を出した。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」