OJKB168863

ホーム
コンテンツにスキップ
検索にスキップ

サインインアカウント

Oracleアカウント

サインアウト

Oracleアカウント

アカウントを管理して、パーソナライズされたコンテンツにアクセスできます。
サインインアカウントを作成

クラウド・アカウント

クラウド・ダッシュボードへのアクセス、ご注文の管理など、さまざまな操作を行えます。
サインイン国を選択
- アカウント
- ヘルプ
国を選択
電話

文書番号	168863.12	最終更新日	2004-07-23	公開区分	一般公開	文書タイプ	PROBLEM

製品名(バージョン)[コンポーネント]	GENERIC ( - ) []
プラットフォーム(バージョン)	すべてのプラットフォーム ( - )
関連文書	40390 　 168863.1

概要 mod_plsql におけるセキュリティの問題

内容:

概要	mod_plsql におけるセキュリティの問題
内容:
mod_plsql におけるセキュリティの問題 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 製品概要 ~~~~~~~~ mod_plsql (ModPL/SQL for Apache) はすべてのバージョンにバンドルされています。 mod_plsql はWEB上から PL/SQL プロシージャを呼び出します。mod_plsql はブラウザからのリクエストによってPL/SQLプロシージャを実行し、HTMLを形式で返します。 mod_plsql はデータベースと接続をしHTMLに変換をしてブラウザに返す一つの機能です。問題 ~~~~ ダブルエンコーディングを行うことによってサーバー上のファイルに不正にアクセスすることができる可能性があります。バッファオーバーフローの発生する問題があり、サービスの低下や不正なコードの実行を引き起こす可能性があります。影響のあるプラットフォーム ~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun SPARC Solaris、HP-UX を含むUNIX MS Windows NT/2000 Server 影響のあるリリース ~~~~~~~~~~~~~~~~~~ Oracle9i Application Server(以下9iAS) R1.0.2.0/R1.0.2.1/R1.0.2.2 Oracle Internet Application Server8i(以下iAS8i) R1.0.0/R1.0.1 パッチの情報 ~~~~~~~~~~~~ オラクル社はこの問題について 9iAS 1.0.2.x.x 用に mod_plsql の 3.0.9.8.3 リリースにて修正を行なっています。iAS8i R1.0.0/R1.0.1 への修正は行なわれません。 iAS8i R1.0.0/R1.0.1 をご使用の場合には、バージョンアップをご検討いただきますようお願い致します。【日本のお客様へのご案内】 2002年02月19日現在、こちらの問題の修正が含まれたパッチ(modplsql30983a)が以下のプラットフォームで公開されております。プラットフォーム公開状況 ----------------- ---------------- 　　　・Solaris ○ 公開済み　　　・Windows NT/2000 ○ 公開済み　　　・HP-UX ○ 公開済み　　　・AIX ○ 公開済み　　　・HP Tru64 UNIX ○ 公開済み　　　・Linux ○ 公開済み (modplsql30983b) (*)Linux版については modplsql30983b になりますが、こちらは modplsql30983a の修正をすべて含んでいます。また KROWN#40390「mod_plsqlのセキュリティ上の脆弱性 (2002年2月)」にも対応したパッチとなっています。公開済みの物につきましては以下の場所からダウンロードを行って下さい。 http://otn.oracle.co.jp --> セキュリティ・アラート --> mod_plsqlのセキュリティ上の脆弱性 --> [対応策] パッチ作成中の物につきましては進捗があり次第本KROWNにて随時情報をアップデートしていきます。回避策 ~~~~~~ mod_plsql をご使用になっていない場合には mod_plsql の設定を無効にすることで、本問題を回避することができます。例：以下の設定ファイルにて mod_plsql の設定をコメントアウトします。 (「ORACLE_HOME」はお客様の環境に依存します。) (UNIX の場合) -設定ファイル ${ORACLE_HOME}/Apache/Apache/conf/oracle_apache.conf -コメントアウトする行 # include "${ORACLE_HOME}/Apache/modplsql/cfg/plsql.conf" (WindosNT/2000 の場合) -設定ファイル %ORACLE_HOME%\Apache\Apache\conf\oracle_apache.conf -コメントアウトする行 # include "%ORACLE_HOME%\Apache\modplsql\cfg\plsql.conf" 協力 ~~~~ オラクル社はこの脆弱性に関する情報を提供していただきました NGSSoftware社の David Litchfield 様に感謝をいたします。更新履歴 ~~~~~~~ 2004/07/23: 文書管理情報を更新 2002/01/08: 公開区分を「契約顧客のみ」に変更 2002/01/09: 公開区分を「一般公開」に変更パッチ情報を更新 2002/01/21: パッチ情報を更新(AIX版) 2002/01/25: パッチ情報を更新(HP-UX版、Tru64版) 2002/02/19: パッチ情報を更新(Linux版) 2002/12/17: www.oracle.co.jp を otn.oracle.co.jp に変更

mod_plsql におけるセキュリティの問題 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 製品概要 ~~~~~~~~ mod_plsql (ModPL/SQL for Apache) はすべてのバージョンにバンドルされています。 mod_plsql はWEB上から PL/SQL プロシージャを呼び出します。mod_plsql はブラウザからのリクエストによってPL/SQLプロシージャを実行し、HTMLを形式で返します。 mod_plsql はデータベースと接続をしHTMLに変換をしてブラウザに返す一つの機能です。問題 ~~~~ ダブルエンコーディングを行うことによってサーバー上のファイルに不正にアクセスすることができる可能性があります。バッファオーバーフローの発生する問題があり、サービスの低下や不正なコードの実行を引き起こす可能性があります。影響のあるプラットフォーム ~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun SPARC Solaris、HP-UX を含むUNIX MS Windows NT/2000 Server 影響のあるリリース ~~~~~~~~~~~~~~~~~~ Oracle9i Application Server(以下9iAS) R1.0.2.0/R1.0.2.1/R1.0.2.2 Oracle Internet Application Server8i(以下iAS8i) R1.0.0/R1.0.1 パッチの情報 ~~~~~~~~~~~~ オラクル社はこの問題について 9iAS 1.0.2.x.x 用に mod_plsql の 3.0.9.8.3 リリースにて修正を行なっています。iAS8i R1.0.0/R1.0.1 への修正は行なわれません。 iAS8i R1.0.0/R1.0.1 をご使用の場合には、バージョンアップをご検討いただきますようお願い致します。【日本のお客様へのご案内】 2002年02月19日現在、こちらの問題の修正が含まれたパッチ(modplsql30983a)が以下のプラットフォームで公開されております。プラットフォーム公開状況 ----------------- ---------------- 　　　・Solaris ○ 公開済み　　　・Windows NT/2000 ○ 公開済み　　　・HP-UX ○ 公開済み　　　・AIX ○ 公開済み　　　・HP Tru64 UNIX ○ 公開済み　　　・Linux ○ 公開済み (modplsql30983b) (*)Linux版については modplsql30983b になりますが、こちらは modplsql30983a の修正をすべて含んでいます。また KROWN#40390「mod_plsqlのセキュリティ上の脆弱性 (2002年2月)」にも対応したパッチとなっています。公開済みの物につきましては以下の場所からダウンロードを行って下さい。 http://otn.oracle.co.jp --> セキュリティ・アラート --> mod_plsqlのセキュリティ上の脆弱性 --> [対応策] パッチ作成中の物につきましては進捗があり次第本KROWNにて随時情報をアップデートしていきます。回避策 ~~~~~~ mod_plsql をご使用になっていない場合には mod_plsql の設定を無効にすることで、本問題を回避することができます。例：以下の設定ファイルにて mod_plsql の設定をコメントアウトします。 (「ORACLE_HOME」はお客様の環境に依存します。) (UNIX の場合) -設定ファイル ${ORACLE_HOME}/Apache/Apache/conf/oracle_apache.conf -コメントアウトする行 # include "${ORACLE_HOME}/Apache/modplsql/cfg/plsql.conf" (WindosNT/2000 の場合) -設定ファイル %ORACLE_HOME%\Apache\Apache\conf\oracle_apache.conf -コメントアウトする行 # include "%ORACLE_HOME%\Apache\modplsql\cfg\plsql.conf" 協力 ~~~~ オラクル社はこの脆弱性に関する情報を提供していただきました NGSSoftware社の David Litchfield 様に感謝をいたします。更新履歴 ~~~~~~~ 2004/07/23: 文書管理情報を更新 2002/01/08: 公開区分を「契約顧客のみ」に変更 2002/01/09: 公開区分を「一般公開」に変更パッチ情報を更新 2002/01/21: パッチ情報を更新(AIX版) 2002/01/25: パッチ情報を更新(HP-UX版、Tru64版) 2002/02/19: パッチ情報を更新(Linux版) 2002/12/17: www.oracle.co.jp を otn.oracle.co.jp に変更

E-mail this page

Oracleアカウント

Oracleアカウント

クラウド・アカウント

お問い合わせ

日本オラクルについて

クラウド

イベント

おすすめコンテンツ

ニュース

主要トピック

Integrated Cloud Applications & Platform Services