CTC、「Oracle9i Database Server XML Database」用の脆弱性対策パッチを公開

ニューズフロント2003年08月26日 16時44分

 伊藤忠テクノサイエンス(CTC)は8月26日、日本オラクルのデータベースソフトウェアOracle9i Database Server XML Databaseの脆弱性情報を発表すると共に、対策用パッチを公開した。CTCの提供する情報は以下の通り。

  • 情報名:
     #58: Oracle9i Database Server XML Databaseの潜在的なセキュリティの脆弱性(文書番号は68458)。
  • 問題の概要:
     Oracle9i Database Release 2(9iR2)のXML Database(XML DB)機能にバッファオーバーフローの脆弱性が存在する。これが悪用されると、サービス拒否(DoS)攻撃の踏み台とされたり、Oracle9i Database Serverに接続しているアクティブなユーザーセッションの制御が奪われる可能性がある。
  • 発生条件:
     “データベースにログイン可能なユーザーが存在する”または“XML DB機能でFTPおよびHTTPサーバが有効となっている”条件で、脆弱性の利用が可能となる。
  • 対象プラットフォーム:
     全プラットフォーム。
  • 回避策:
     完全に防ぐ方法は存在しない。ただし、XML DB機能のFTP/HTTPサーバを無効にしておくと、脆弱性悪用の危険性を下げられる。
  • 対策用パッチ:
     Oracle9i Database Release 2リリース9.2.0.3のみに個別パッチをウェブサイトで提供する(同サイトからパッチをダウンロードするにはユーザー登録が必要)。なおリリース9.0.1.x、8.1.7.x、8.1.6.x、8.1.5.x、8.0.5.x、7.3.x にはこの脆弱性が存在しないので、これらに対するパッチは作成しない。
  • 修正予定のリリース:
     Oracle9i Database Release2の次バージョン。
  • 修正したPSR:
     Oracle9i Database Release2 9.2.0.4。

伊藤忠テクノサイエンスのプレスリリース

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]