米オラクル、３つの欠陥について新たに警告

　データベースメーカーの米Oracleは24日（米国時間）、同社製品で新たに見つかった3カ所の欠陥を顧客に警告するとともに、同社のアプリケーションサーバを悪用する4つ目の欠陥に関しても改めて注意を促した。

　今回発表されたなかで最も深刻な2つの脆弱性は、「E-Business Suite」という、会計からイントラネットまでのあらゆるものの管理を行う同社のサーバアプリケーションのなかに存在する。Oracleでは、両方とも最も深刻度が高い脆弱性としている。

　同社のセキュリティ製品管理ディレクター、John Heimannは、「当社のランク付けシステムは、悪用される可能性と、悪用された場合の被害の危険性に基づいて決められている。いずれの欠陥も悪用されて被害につながる可能性を秘めている」と語っている。

　Oracleはこれら4つすべての脆弱性に対して勧告を出し、パッチを用意している。

　E-Business Suiteで見つかった欠陥のうち、1番めのほうは、セキュリティのかかっていないJavaサーバページが引き起こすもので、どのユーザーでもこのソフトウェアのコンフィギュレーションやホストシステムの情報を見ることができてしまう。2番目のの欠陥は、バッファオーバーフローで、同スイートのコンポーネントをクラッシュさせ、攻撃者がそのシステム上でコードを実行できるようになる可能性がある。

　同社のデータベースサーバで見つかったこの欠陥は、攻撃者がシステムに悪影響を及ぼすコードを実行できるようにしてしまうが、これは攻撃者がすでにそのシステムのデータベース管理者特権を持っている場合に限られる。このようなタイプの攻撃で最も懸念されるのは、社内の人間がより高いレベルの管理者特権を入手できてしまうことである。

　Oracleはまた、ファイルを読んだり Javaサーバページのソースコードを見ることができてしまうアプリケーションサーバの複数の欠陥についても、重ねて警告を出した。