文書番号 168863.12 最終更新日 2004-07-23 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] GENERIC ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 40390   168863.1  
概要 mod_plsql におけるセキュリティの問題
内容:
mod_plsql におけるセキュリティの問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

製品概要
~~~~~~~~
mod_plsql (ModPL/SQL for Apache) はすべてのバージョンにバンドルされています。
mod_plsql はWEB上から PL/SQL プロシージャを呼び出します。mod_plsql はブラウザ
からのリクエストによってPL/SQLプロシージャを実行し、HTMLを形式で返します。
mod_plsql はデータベースと接続をしHTMLに変換をしてブラウザに返す一つの機能です。


問題 
~~~~ 
ダブルエンコーディングを行うことによってサーバー上のファイルに不正にアクセス
することができる可能性があります。

バッファオーバーフローの発生する問題があり、サービスの低下や不正なコードの
実行を引き起こす可能性があります。


影響のあるプラットフォーム 
~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Sun SPARC Solaris、HP-UX を含むUNIX
MS Windows NT/2000 Server


影響のあるリリース
~~~~~~~~~~~~~~~~~~ 
Oracle9i Application Server(以下9iAS)            R1.0.2.0/R1.0.2.1/R1.0.2.2
Oracle Internet Application Server8i(以下iAS8i)  R1.0.0/R1.0.1  


パッチの情報
~~~~~~~~~~~~
オラクル社はこの問題について 9iAS 1.0.2.x.x 用に mod_plsql の 3.0.9.8.3 リリース
にて修正を行なっています。iAS8i R1.0.0/R1.0.1 への修正は行なわれません。
iAS8i R1.0.0/R1.0.1 をご使用の場合には、バージョンアップをご検討いただきますようお願い
致します。


【日本のお客様へのご案内】

2002年02月19日現在、こちらの問題の修正が含まれたパッチ(modplsql30983a)が
以下のプラットフォームで公開されております。


       プラットフォーム     公開状況
      -----------------     ----------------
   ・Solaris             ○ 公開済み
   ・Windows NT/2000     ○ 公開済み
   ・HP-UX               ○ 公開済み
   ・AIX                 ○ 公開済み
   ・HP Tru64 UNIX       ○ 公開済み
   ・Linux               ○ 公開済み (modplsql30983b)

      (*)Linux版については modplsql30983b になりますが、こちらは modplsql30983a の
      修正をすべて含んでいます。また KROWN#40390「mod_plsqlのセキュリティ上の脆弱性
      (2002年2月)」にも対応したパッチとなっています。

公開済みの物につきましては以下の場所からダウンロードを行って下さい。

http://otn.oracle.co.jp
  --> セキュリティ・アラート
     --> mod_plsqlのセキュリティ上の脆弱性
         -->  [対応策]  

パッチ作成中の物につきましては進捗があり次第本KROWNにて
随時情報をアップデートしていきます。


回避策
~~~~~~
mod_plsql をご使用になっていない場合には mod_plsql の設定を無効にすることで、
本問題を回避することができます。

例:
以下の設定ファイルにて mod_plsql の設定をコメントアウトします。
(「ORACLE_HOME」はお客様の環境に依存します。)

(UNIX の場合)
  -設定ファイル
  ${ORACLE_HOME}/Apache/Apache/conf/oracle_apache.conf

  -コメントアウトする行
  # include "${ORACLE_HOME}/Apache/modplsql/cfg/plsql.conf"

(WindosNT/2000 の場合)
  -設定ファイル
  %ORACLE_HOME%\Apache\Apache\conf\oracle_apache.conf

  -コメントアウトする行
  # include "%ORACLE_HOME%\Apache\modplsql\cfg\plsql.conf"


協力
~~~~
オラクル社はこの脆弱性に関する情報を提供していただきました NGSSoftware社の
David Litchfield 様に感謝をいたします。


更新履歴
~~~~~~~
2004/07/23: 文書管理情報を更新
2002/01/08: 公開区分を 「契約顧客のみ」に変更
2002/01/09: 公開区分を 「一般公開」に変更
            パッチ情報を更新
2002/01/21: パッチ情報を更新(AIX版)
2002/01/25: パッチ情報を更新(HP-UX版、Tru64版)
2002/02/19: パッチ情報を更新(Linux版)
2002/12/17: www.oracle.co.jp を otn.oracle.co.jp に変更