米オラクル、データベースのセキュリティ欠陥にパッチ

　米Oracleは、同社のデータベース製品を利用する顧客に対し、特定のバージョンにセキュリティの脆弱性が存在しており、データが外部に露出する可能性が高いため、これを修正するパッチを適用するよう勧告した。

　同社によると、この欠陥の影響を受けるサーバは、それに接続したどのマシンからでも、この欠陥を悪用し、当該サーバを乗っ取れるという。同社は4日（米国時間）に出した警告のなかで、この問題はOracle 9iおよびOracle 8iの4つのバージョンに加え、Oracle 9i Application Serverの2つのバージョンのなかでも見つかったという。

　カーネギーメロン大学CERT Coordination Centerのウェブサイトで詳細が説明されているこの問題は、Oracle製品のなかで使われているセキュリティ関連のプロトコル、Secure Sockets Layer（SSL）およびTransport Layer Security（TLS）のさまざまなインプリメンテーションにある欠陥が原因だという。SSLの脆弱性は、「たとえX.509のクライアント証明が無効な時でも、巧妙に作成したX.509証明をクライアントが提示すれば、これを悪用できてしまう」とOracleの警告には記されている。