Oracle セキュリティ情報
今週は、別冊セキュリティホール『おらくる』も出ました・・・。
Unauthorized Disclosure of Information in Oracle E-Business Suite
Oracle E-Business Suite 11i と Oracle Applications の The AOL/J Setup Test Suite (aoljtest.jsp とか。$COMMON_TOP/html/jsp/fnd ディレクトリにインストールされる)に複数の脆弱性があり、Oracle アプリケーションの設定情報を奪取される問題がある。
修正パッチがリリースされているので、適用すればよい。
関連情報
- Oracle E-Business Suite AOL/J Setup Test Information Disclosure(Integrigy Security Alert)
Buffer Overflow Vulnerability in Oracle E-Business Suite
Oracle E-Business Suite 11i と Oracle Applications の FNDWRR.exe (レポートやログを表示する CGI プログラム)に異常に長い URL を与えられることでバッファオーバーフローを引き起こす問題がある。この問題によって、リモートから任意のコードを実行される可能性がある。
修正パッチがリリースされているので、適用すればよい。
関連情報
- Oracle E-Business Suite FNDWRR Buffer Overflow(Integrigy Security Alert)
Buffer Overflows in EXTPROC of Oracle Database Server Description
Oracle Database Server の外部プロシージャ機能"EXTPROC"に異常に長いライブラリ名を与えられると、loggingプロセスでスタックバッファオーバーフローを引き起こす問題がある。
その結果、WindowsプラットフォームではLocal System 権限、UNIXプラットフォームでは Oracle 権限で任意のコードを実行される可能性がある。
NGSoftware の情報だと、この脆弱性は、ユーザID/パスワードなしでリモートから攻略できるとのこと。*1
修正パッチがリリースされているので、適用すればよい。ただし、Oracle9i 9.2.0.2(Windows NT/2000/XP)のパッチがまだリリースされていないので注意。
関連情報
- Oracle Extproc Buffer Overflow(NGSSoftware Insight Security Research Advisory)
