CTC、「Oracle9i Database Server XML Database」用の脆弱性対策パッチを公開

　伊藤忠テクノサイエンス（CTC）は8月26日、日本オラクルのデータベースソフトウェアOracle9i Database Server XML Databaseの脆弱性情報を発表すると共に、対策用パッチを公開した。CTCの提供する情報は以下の通り。

• 情報名：
  　#58: Oracle9i Database Server XML Databaseの潜在的なセキュリティの脆弱性（文書番号は68458）。

• 問題の概要：
  　Oracle9i Database Release 2（9iR2）のXML Database（XML DB）機能にバッファオーバーフローの脆弱性が存在する。これが悪用されると、サービス拒否（DoS）攻撃の踏み台とされたり、Oracle9i Database Serverに接続しているアクティブなユーザーセッションの制御が奪われる可能性がある。

• 発生条件：
  　“データベースにログイン可能なユーザーが存在する”または“XML DB機能でFTPおよびHTTPサーバが有効となっている”条件で、脆弱性の利用が可能となる。

• 対象プラットフォーム：
  　全プラットフォーム。

• 回避策：
  　完全に防ぐ方法は存在しない。ただし、XML DB機能のFTP／HTTPサーバを無効にしておくと、脆弱性悪用の危険性を下げられる。

• 対策用パッチ：
  　Oracle9i Database Release 2リリース9.2.0.3のみに個別パッチをウェブサイトで提供する（同サイトからパッチをダウンロードするにはユーザー登録が必要）。なおリリース9.0.1.x、8.1.7.x、8.1.6.x、8.1.5.x、8.0.5.x、7.3.x にはこの脆弱性が存在しないので、これらに対するパッチは作成しない。

• 修正予定のリリース：
  　Oracle9i Database Release2の次バージョン。

• 修正したPSR：
  　Oracle9i Database Release2 9.2.0.4。

伊藤忠テクノサイエンスのプレスリリース