文書番号 168862.12 最終更新日 2004-07-23 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] GENERIC ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 168862.1  
概要 Oracle9i Application Server の DoS脆弱性の問題について
内容:
Oracle9i Application Server の DoS脆弱性の問題について
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

問題 
~~~~ 
WindowsNT/2000版の Oracle9i Application Server に於きましてセキュリティの
脆弱性が確認されました。ある特殊な URI をクライアントから送信されることに
よって、子プロセスがアプリケーションエラーを発生する可能性があり、メッセー
ジボックスが表示され、オペレーターによって閉じられるまでサービスが再開され
ません。この脆弱性は サービスの停止(DoS)を引き起こす可能性があります。


影響のあるプラットフォーム 
~~~~~~~~~~~~~~~~~~~~~~~~~~ 
MS Windows NT/2000 Server
  

影響のあるリリース
~~~~~~~~~~~~~~~~~~ 
バージョン 1.0.2.2 までの Oracle9i Application Server にて影響があります。


パッチの情報
~~~~~~~~~~~~
オラクル社では、Oracle9i Application Server バージョン 1.0.2.2 での修正を
パッチ2139489 で提供しております。

【日本のお客様へのご案内】

本文書中に述べられている パッチ2139489 の修正は 既に日本で出荷している 
Oracle9iAS 1.0.2.2 CDパックに p1817051 として含まれております。このパッチを
適用いただいているお客様の環境では本問題は発生いたしません。万一、まだ適用
いただいていない場合は至急適用いただけますようお願いいたします。
また、現時点では Oracle9iAS 1.0.2.1, Oracle9iAS 1.0.2.0, 
Oracle8i Database R8.1.7, Oracle9i Database R9.0.1 にバンドルされる
Oracle HTTP Server で本問題の発生は確認されておりません。

● リリースノート抜粋 (J04288-01 p.32)
【Oracle HTTP Server に関連した修正の適用】
Oracle HTTP Server に対する修正が、Oracle9i Application Server R1.0.2.2 Update 
CD-ROM 内の次のディレクトリにあります。

    <cdrom>\ohs\p1817051
    <cdrom>\ohs\p1866039

Oracle HTTP Server をご使用になる前にこれらのパッチを必ず適用してください。
これらのパッチを適用することで修正される主な問題は以下の通りです。

 - Apache JServ 上で動作するOracleJSP からJESI タグが使用できない問題(Bug#1778659)
 - 不正なリクエストを受けるとOracle HTTP Server for Windows がダウンする問題(Bug#1815016)
 - 一台のマシンで複数のOracle HTTP Server が起動できない問題(Bug#1774568)
 - 一台のマシンで複数のFastCGI プロセスが起動できない問題(Bug#1803670)

インストールは、まずp1817051 内のパッチを適用し、それからp1866039 内のパッチを
適用して下さい。インストール手順に関する詳細は、それぞれのディレクトリに含まれる
README.txt を参照してください。


協力
~~~~
オラクル社はこの脆弱性に関する情報を提供していただきました eEye Digital Security 社の
Marc Maiffret 様に感謝をいたします。


更新履歴
~~~~~~~
2004/07/23: 文書管理情報を更新
2002/01/08: 公開区分を 「契約顧客のみ」に変更
2002/01/09: 公開区分を 「一般公開」に変更
2002/01/16: 誤字の修正
2002/04/15: Oracle8.1.7, Oracle9.0.1 のOHS情報追加