米オラクル、データベースのセキュリティ欠陥にパッチ

  • このエントリーをはてなブックマークに追加

 米Oracleは、同社のデータベース製品を利用する顧客に対し、特定のバージョンにセキュリティの脆弱性が存在しており、データが外部に露出する可能性が高いため、これを修正するパッチを適用するよう勧告した。

 同社によると、この欠陥の影響を受けるサーバは、それに接続したどのマシンからでも、この欠陥を悪用し、当該サーバを乗っ取れるという。同社は4日(米国時間)に出した警告のなかで、この問題はOracle 9iおよびOracle 8iの4つのバージョンに加え、Oracle 9i Application Serverの2つのバージョンのなかでも見つかったという。

 カーネギーメロン大学CERT Coordination Centerのウェブサイトで詳細が説明されているこの問題は、Oracle製品のなかで使われているセキュリティ関連のプロトコル、Secure Sockets Layer(SSL)およびTransport Layer Security(TLS)のさまざまなインプリメンテーションにある欠陥が原因だという。SSLの脆弱性は、「たとえX.509のクライアント証明が無効な時でも、巧妙に作成したX.509証明をクライアントが提示すれば、これを悪用できてしまう」とOracleの警告には記されている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加