CERT CA-2003-26 及び以前の SSL問題に対する SSLの更新
対応策 |
詳細につきましては、「 説明とよくある質問・回答」をご参照ください。
この文章は CERT Advisory CA-2003-26 と、今までに公開されているいくつかのCommon
Vulnerabilities and Exposures (CVE) candidates (CAN-200N-NNNN)について記述をしています。
CERT CA-2003-26 では特殊な形で作成された X.509 の証明書が、クライアントから送られたときに任意のコードを実行される可能性がある
SSL脆弱性について報告されています。
これは X.509 クライアント証明書の要求の設定が有効でない場合でも同様です。
こちらの問題についての CVE番号は CAN-2003-0544 と CAN-2003-0545 です。
CERT CA-2003-26 ではまた X.509 クライアント証明書の要求の設定が有効な場合にのみ発生する脆弱性についても記述がされています。この問題についてのCVE番号はCAN-2003-0543
です。
この脆弱性は SSLを使用してクライアント証明書を受け付けるすべてのOracle9i
Application Server, Oracle9i Database Server, Oracle8i Database Server
の製品に影響があります。
今回この問題に対して出されるパッチには以下の以前の CVEの問題に対する修正も含まれています。
CVE-2002-0082, CAN-2003-0078, CAN-2003-0147, CAN-2003-0131
- 深刻度 1
- 深刻度表示につきましては、「米国側PDF資料における深刻度表示について」をご参照ください。
- 影響のあるリリース
- Oracle9i Database Server リリース 2, バージョン 9.2.0
Oracle9i Database Server リリース 1, バージョン 9.0.1
Oracle8i Database Server リリース 3, バージョン 8.1.7
Oracle9i Application Server リリース 2, バージョン 9.0.3
Oracle9i Application Server リリース 2, バージョン 9.0.2
Oracle9i Application Server リリース 1, バージョン 1.0.2.2
Oracle9i Application Server リリース 1, バージョン 1.0.2.1s (注1)
Oracle HTTP Server バージョン 9.2.0
Oracle HTTP Server バージョン 9.0.1
Oracle HTTP Server バージョン 8.1.7
| 注1: |
このバージョンは Oracle E-Business Suite Release 11i (R11.5.1 -R11.5.5)の
Rapid Installをインストール後、Note:161779.1を元にiASをアップグレードを実施したお客様用のバージョンになります。
|
|
Oracle E-Business Suite Release 11i をご使用のお客様は下記の[Oracle E-Business Suite Release 11i をご使用のお客様]を参照して下さい。 |
- 対象プラットフォーム
- 全てのプラットフォーム
- 対応方法
- ●回避策
回避策はありません。
問題を修正するためにはパッチを適用する必要があります。
●対応パッチの適用
本件は、弊社カスタマーサポートセンターより提供されている対応パッチによる問題の解決が可能です。
詳細につきましては、以下の「対応パッチの入手方法」をご参照ください。
- 対応パッチの入手方法
- ●日本オラクルとメンテナンスサポート契約のあるお客様
弊社カスタマーサポートセンターのCSI番号をお持ちの方は、以下の「OpenSSLに関する修正」および「Oracle SSLに関する修正」の項目を参照し、ご使用いただいている製品、バージョン、OSに適合したものをご選択ください。
(こちらのページにアクセスする際に必要となるログインユーザーおよびパスワードは通常、弊社カスタマーサポートセンターのサイトにログインいただくものと同じです。)
| OpenSSLに関する修正 |
「Oracle9i Application Server パッチ」のページにて、「p3169446 OHS patch」の中から、ご使用いただいているバージョン、OSに適合したものをご選択ください。
| 注) |
Oracle9i Application Server 1.0.2.2 をご使用のお客様は 「p3169446 OHS patch」を適用する前に
「p3072811 OHS patch」を適用して下さい。 |
[対象製品/バージョン]
| ・ |
Oracle9i Application Server リリース 2, バージョン 9.0.3 |
| ・ |
Oracle9i Application Server リリース 2, バージョン 9.0.2 |
| ・ |
Oracle9i Application Server リリース 1, バージョン 1.0.2.2 |
| ・ |
Oracle HTTP Server バージョン 9.2.0 |
| ・ |
Oracle HTTP Server バージョン 9.0.1 |
| ・ |
Oracle HTTP Server バージョン 8.1.7 |
|
| [Oracle E-Business Suite Release 11i をご使用のお客様] |
本問題は Oracle E-Business Suite Release 11iで上記 [影響のある製品/リリース]
に記述されているバージョンの製品をご使用のお客様も対象となります。
ご使用になっている製品、バージョン、OSに適合したパッチを入手して適用して下さい。
OpenSSLに関する修正
 |
- |
R11.5.7以降のバージョン: |
|
|
上記の「OpenSSLに関する修正」の情報を参照し、1.0.2.2 用のパッチを入手して適用して下さい。 |
|
- |
R11.5.1 - R11.5.5 Rapid Install後 Note:161779.1を元にiASを アップグレードしたバージョン: |
|
|
こちらのバージョンでは OHS バージョン1.0.2.1sが使用されています。
このバージョンに対するパッチについてはカスタマーサポートセンターにお問い合わせ下さい。
(問い合わせの際、製品をOracle Self-Service Web Applicationsを選択下さい) |
Oracle SSLに関する修正
|
上記の「Oracle SSLに関する修正」の情報を参照し、ご使用のデータベースのバージョン用のパッチを入手して適用して下さい。 |
|
- ●日本オラクルとメンテナンスサポート契約をお持ちでないお客様
パッチの提供はメンテナンスサポート契約のあるお客様に限らせていただいております。メンテナンスサポート契約に関するお問い合わせは、ご購入先もしくは当社ディストリビューションセンターにお問い合わせいただきますようお願いいたします。
当社販売代理店
当社ディストリビューションセンタ
|
Bookmark
