文書番号 40390 最終更新日 2006-06-21 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (1.0.2 - 1.0.2) [PLSQL Module]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 41025  
概要 mod_plsqlのセキュリティ上の脆弱性(2002年2月)
内容:
[問題]

mod_plsqlのセキュリティ上の脆弱性(2002年2月)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題概要
~~~~~~~~
A)
Oracle9iAS の mod_plsql V3.0.9.8.2 において、バッファオーバーフローの
セキュリティ脆弱性が存在します。過度の長さの文字列を mod_plsql の管理
ページにリクエストする事によって、知識のある悪意を持ったユーザが
Oracle9iAS V1.0.2.X を使用し、OS アカウントのアクセス権を得る
可能性があります。

B)
知識のある悪意を持ったユーザが、ダブルURLエンコーディングを利用して
mod_plsql ディレクトリパス走査機能を行なうことにより、OSアカウント情報
が含まれた読みとり可能なOSファイルにアクセスし、OS と Oracle9iAS への
アクセス権を得る可能性があります。

C) 
mod_plsql ゲートウェイ管理画面に直接アクセスすることによって、知識の
ある悪意を持ったユーザが、特権データベースアカウントのデフォルトパス
ワードを変更していない場合に、認証要求無しにリモートから PL/SQL DAD
の情報を操作することができる可能性があります。

D) 
知識のある悪意を持ったユーザが、不正な認証のHTTPヘッダー(例えば
"BASIC APACHE" の様な存在しない認証タイプ)を mod_plsql に対してリクエ
ストする事によって、サービスの低下(DOS)攻撃を引き起こす可能性がありま
す。

E) 
知識のある悪意を持ったユーザが、典型的な Oracle9iAS、Oracle9iのインス
トールによってデフォルトでインストールされる PL/SQL の OWA と HTP パッ
ケージを利用し、特権Oracleデータベースサーバー情報への直接アクセスや
クロスサイト・スクリプティング攻撃によって、許可していない Oracle9iAS 
V1.0.2.X へのアクセスを行なう可能性があります。

クロスサイト・スクリプティングにつきましては以下のKROWNをご参照下さい。


KROWN#41025 [9iAS] mod_plsql クロスサイト・スクリプティング(CSS)脆弱性の問題について

F)
知識のある悪意を持ったユーザが、URI に指定する「アプリケーションに固有
のDAD」を使用することによって、PL/SQL の認証を行わないようにすることが
できる可能性があります。 

G)
mod_plsql の管理ページに有効ではないリクエストを送ることによって、知識のある
悪意を持ったユーザが、サービス停止(Denial of Service (DoS))攻撃をOracle9iAS
に対して行うことができる可能性があります。知識のある悪意を持ったユーザが
mod_plsqlの管理ページへの過度なアクセスによって、Windows OS へのアクセスを
得るために Oracle9iAS v1.0.2を利用する可能性があります。

H) 
知識のある悪意を持ったユーザがデータベース内のいくつかの既知のPL/SQLプロシージャ
に許可されていないアクセスを行うことができる可能性があります。


[対象リリース]
問題が発生するリリース  :Oracle9i Application Server R1.0.2.2 / R1.0.2.1 / R1.0.2.0
                          Oracle9i Database Release 1 (9.0.1) 
                          Oracle Database R8.1.7 
                          これらに付属の mod_plsql のバージョン(3.0.9.0.7、3.0.9.8.2等)
                          
問題を修正したリリース  :Oracle9i Application Server Release 2(9.0.2) 
                          Oracle9i Database Release 2(9.2.0)
問題を修正したPSR       :なし
問題を修正予定のPSR     :なし


[対象プラットフォーム]
Sun
-----
Sun SPARC Solaris

Microsoft Windows
-----------------
MS Windows NT
MS Windows 2000

HP
------
HP Tru64 UNIX

HP
---
HP 9000 Series HP-UX
HP 9000 Series HP-UX (64-bit) 

IBM
----
IBM RS 6000 AIX
IBM RS 6000 AIX (64-bit)
IBM SP AIX

Linux
--------
Intel Based Server LINUX 


[対処]

C) および G) の潜在的な脆弱性を回避するために 以下の設定ファイルの中の
「ADMINPATH」の設定を、容易に想像し難いパスに変更をして下さい。

UNIX:$ORACLE_HOME/Apache/modplsql/cfg/wdbsvr.app
NT  :%ORACLE_HOME%\APACHE\MODPLSQL\CFG\wdbsvr.app

上記ファイルの設定につきましては「Oracle9i Application Server PL/SQL
ゲートウェイの使用 リリース1.0.2.2」のマニュアルをご覧下さい。
なお、上記マニュアルは以下の URL から参照可能です。
(参照には OTN への登録(無料)が必要になります)

  j04224-01.pdf
  j04224-01.zip


F) および H)のセキュリティ脆弱性を回避するために、wdbsvr.app ファイルの
各DADの設定に次の設定を追加して下さい。

    EXCLUSION_LIST= ACCOUNT*, SYS.*, DBMS_*, OWA*

    (*) ここでの「ACCOUNT」 は実行されたくないパッケージ/プロシージャ名を表します
        ここで設定をすることによってブラウザからの実行はできなくなります

wdbsvr.app ファイルの位置は以下の通りです。

UNIX:$ORACLE_HOME/Apache/modplsql/cfg/wdbsvr.app
NT  :%ORACLE_HOME%\APACHE\MODPLSQL\CFG\wdbsvr.app


C) と F) 以外の上記の問題に関しましては以下にパッチが存在します。


パッチの情報
~~~~~~~~~~~~
オラクル社は C) と F) を除く上記の問題について、mod_plsql の 3.0.9.8.3B
リリースにて修正を行なっております。iAS8i R1.0.0/R1.0.1 への修正は行な
われません。iAS8i R1.0.0/R1.0.1 をご使用の場合には、バージョンアップを
ご検討いただきますようお願い致します。


【日本のお客様へのご案内】

2002年4月23日現在、上記の問題の修正が含まれたパッチ(MODPLSQL30983B) が
以下のプラットフォームで公開されております。

● 2002年4月23日時点の公開状況(すべて公開済み)

《Oracle9iAS  リリース 1.0.2.X用》

       プラットフォーム     公開状況
      -----------------     ----------------
   ・Solaris             ○ パッチ公開中
   ・Windows NT/2000     ○ パッチ公開中
   ・HP-UX               ○ パッチ公開中
   ・AIX                 ○ パッチ公開中
   ・HP Tru64 UNIX       ○ パッチ公開中
   ・Linux               ○ パッチ公開中

《Oracle8i データベース リリース 8.1.7 用》

       プラットフォーム     公開状況
      -----------------     ----------------
   ・Solaris             ○ パッチ公開中
   ・Windows NT/2000     ○ パッチ公開中
   ・HP-UX               ○ パッチ公開中
   ・AIX                 ○ パッチ公開中
   ・HP Tru64 UNIX       ○ パッチ公開中
   ・Linux               ○ パッチ公開中

《Oracle9i データベース リリース 9.0.1 用》

       プラットフォーム     公開状況
      -----------------     ----------------
   ・Solaris             ○ パッチ公開中
   ・Windows NT/2000     ○ パッチ公開中
   ・HP-UX               ○ パッチ公開中
   ・AIX                 ○ パッチ公開中
   ・HP Tru64 UNIX       ○ パッチ公開中
   ・Linux               ○ パッチ公開中


公開済みのパッチにつきましては以下の場所からダウンロードを行って下さい。

http://otn.oracle.co.jp
  --> セキュリティ・アラート
     --> mod_plsqlとJSPのセキュリティに関する脆弱性 (2002/2/15公開)
         -->  [対応策]  
             --> mod_plsqlのセキュリティに関する脆弱性 パッチ入手方法

なお、このパッチは2002年1月9日より公開されている「mod_plsqlのセキュリティ上
の脆弱性(2002/1/9公開)」(KROWN#168863.12)の問題の修正(MODPLSQL30983A)
を含んでいます。 

協力
~~~~
オラクル社はこの脆弱性に関する情報を提供していただきました Next Generation
Security Software Limited 社の David Litchfield 様に感謝いたします。


注意
~~~~
本問題は重要なセキュリティに関する問題であり、その具体的な再現手順等の
情報は公開致しません。ご了承いただけますようお願いいたします。

[参照情報]
Note 175428.1 
Vulnerabilities in Oracle mod_plsql and JSP in Oracle 9iAS V1.0.2.x


更新履歴
~~~~~~~~
2006/06/21 Note 175428.1 の更新部分(G,H)を反映
2004/07/22 対象リリース と 対象プラットフォーム の記述形式を変更
2004/07/14 文書管理情報を更新
2002/02/14 本KROWN公開
2002/02/15 Solaris,WindowsNT/2000用パッチを公開
2002/02/19 9iAS の HP-UX,AIX,Linux用パッチを公開
2002/02/21 Oracle8i 8.1.7 の HP-UX,AIX,Linux用パッチを公開
2002/02/21 Oracle9i 9.0.1 の HP-UX用パッチを公開
2002/02/21 CSS問題についてKROWN41025を追記
2002/02/25 Oracle9i 9.0.1 の AIX用パッチを公開
2002/03/01 HP Tru64 UNIX 用パッチを公開
2002/04/23 Oracle9i 9.0.1 の Linux用パッチを公開
2002/12/17 www.oracle.co.jp を otn.oracle.co.jp に変更