文書番号 40908 最終更新日 2006-04-04 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle Intelligent Agent (7.3 - -) [Oracle Intelligent Agent]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 SNMPにおける潜在的なセキュリティの脆弱性
内容:
[問題]
 潜在的なセキュリティの脆弱性が Oracle Enterprise Manager の SNMPによるデータベース
 監視機能で発見されました。この潜在的なセキュリティの脆弱性により SNMP によるデータ
 ベース監視機能を提供する Master Peer Agent は DoS (Denial of Service の略でサービス
 の停止を意味します)攻撃を受ける可能性があります。

 SNMP によるデータベース監視機能を使用する場合、Enterprise Manager のサーバー側
 コンポーネント Intelligent Agent (Enterprise Manager の中心となる機能を提供する
 プログラム)及び Intelligent Agent のサブコンポーネントである Master Peer Agent
 (OS の SNMP デーモンの代わりに Sun SunNet Manager, HP OpenView,  Tivoli NetView 
 等のサードベンダー SNMP管理ステーションからのリクエストを受け付けるプログラム)の
 2つのプログラムが使用されます。 SNMP 監視機能を提供する Master Peer Agent が不正な
 リクエストを受けた場合に、その後の SNMPリクエストに応答できなくなったり、余分な
 メッセージを送信する可能性があります。

 なお、この潜在的なセキュリティの脆弱性は SNMP 監視機能を使用されている場合にのみ
 発生する可能性がございます。 

 注意: Intelligent Agent はこの潜在的なセキュリティの脆弱性の影響を受けません。
       従いまして、Enterprise Manager の中心となるジョブ機能、イベント機能及び
       電子メールによる通知機能等は影響を受けません。


[対象リリース]
 以下の製品に付属の Master Peer Agent が起動している場合に影響を受ける可能性が
 ございます。

    - Oracle7 Release 7.3.x
    - Oracle8 Releases 8.0.x
    - Oracle8i Releases 8.1.x
    - Oracle9i Database Release 9.0.1.x


[対象プラットフォーム]
 IBM AIX を除く全ての Unix プラットフォーム及び Windows プラットフォームが影響を受ける
 可能性がございます。


[回避策]
 - Master Peer Agent を使用されていらっしゃらない場合はこちらの現象は発生致しません。
     Unix では start_peer コマンドを使用し明示的にプロセスを起動していない
     限りこの問題が発生することはございません。

     Windows では以下のサービスが起動しておらず、agent.exe プロセスがタスクマネージャ
     に存在しない限りこの問題が発生することはございません。
 
       Oracle[<ORACLE_HOME>]SNMPPeerMasterAgent


 - Master Peer Agent を使用されていらっしゃる場合はパッチを適用することで回避下さい。


[パッチ情報]
 パッチにつきましては以下の URL の対応パッチの入手方法をご参照下さい。
   http://otn.oracle.co.jp/security/020311/top.html


[よくある質問とその回答]
-----------------------------------------------------------------------------------------------
Q. SNMP とは何ですか?

A. SNMP (Simple Network Management Protocol)は、インターネット・ネットワーク管理用
   に使用される業界標準プロトコルです。
   SNMP を使用することで、管理者は、サーバーマシンやOS のネットワーク機器等を
   リモートから管理可能となります。
   Oracle Master Peer Agent は OS の SNMP と連携を行い、これによって、Oracle 製品の
   管理を普及している既存の各種管理システムに統合できます。
   この機能によって、これまでネットワーク自体のアクティビティの監視に使用されてきた方法
   とほぼ同じ方法およびツールで、中央のノードで稼働中の管理ステーションにより、企業の
   ネットワーク上の任意の場所で稼働している主要な Oracle 製品を検索、識別および監視できます。
   その結果、データベース管理者およびネットワーク管理者の作業が統合され、両者とも同じツールを
   使用して、作業の統合を改善できます。


------------------------------------------------------------------------------------------------
Q. Oracle と OS の SNMP デーモンは具体的にどのように連携して動作するのですか?

A. 以下の図のように、Master Peer Agent は OS の SNMP デーモンと連携を取り、SNMP 管理ステーション
   からのリクエストを受け付けます。
   (なお以下の図の管理ステーションとは Enterprise Manager ではなく例えば Sun SunNet Manager 
    HP OpenView,  Tivoli, NetView 等のサードベンダーの SNMP 管理ステーションを意図しています。)

     1. Unix の場合(HP-UXとIBM AIX を除く)以下の例のように連携を行い動作します。

         Client                                              Server

        +----------------+            +----------------------------------------------------------+
        | 管理ステーション|  --------  |  Master Peer Agent --- Intelligent Agent --- データベース |
        |                |            |     |              --- TNS Listener                      |
        +----------------+            |     |                                                    |
                                      |  OS SNMPデーモン                                          |
                                      +----------------------------------------------------------+

     2. HP-UX の場合以下の例のように連携を行い動作します。

         Client                      Server

        +----------------+            +----------------------------------------------------------+
        | 管理ステーション|  --------  | OS SNMPデーモン                       データベース         |
        |                |            |     |                                      |             |
        +----------------+            |     |                                      |             |
                                      |   NAAAGENT --- Master Peer Agent --- Intelligent Agent   |
                                      |                                        TNS Listener      |
                                      +----------------------------------------------------------+

                                      (NAAAGT は OS 側のコンポーネント HP Native Agent Adapter です。)

     3. IBM AIX の場合以下の例のように連携を行い動作します。

         Client                      Server

        +----------------+            +------------------------------------------------------------+
        | 管理ステーション|  --------  |OS SNMP デーモン --- Intelligent Agent --- データベース      |
        |                |            |                       TNS Listener                         |
        +----------------+            +------------------------------------------------------------+
                                       


     4. WindowsNT/2000 の場合以下の例のように連携を行い動作します。

         Client                      Server

        +----------------+            +------------------------------------------------------------+
        | 管理ステーション|  --------  |Master Peer Agent --- Intelligent Agent --- データベース     |
        |                |            |     |                                                      |
        +----------------+            |     |                                                      |
                                      |  OS SNMPデーモン                                            |
                                      +------------------------------------------------------------+


------------------------------------------------------------------------------------------------
Q. 上記図の Intelligent Agent とは何ですか?

A. Oracle Enterprise Manager のジョブ機能やイベント機能を実行するコンポーネントです。

     - ジョブ機能
           あらかじめスケジュールした時刻に、リモートのマシン上でスケジュール
           された OSコマンド/TCL スクリプト/SQL*Plus/コマンド/データベースの起動
           停止等を実行できます。
     - イベント機能
           データベースや OS のパフォーマンス、リソース、障害などを監視し、設定
           された閾値を超えると電子メール等で通知を行う機能です。

     これらの機能とは別の機能として Master Peer Agent と連携して、データベースの情報を SNMP管理
     ステーションより取得する際にサブエージェントとして機能します。


------------------------------------------------------------------------------------------------
Q. この障害を受ける可能性が考えられるコンポーネントはどの部分でしょうか。

A. この障害を受ける可能性が考えられるコンポーネントは SNMP Protocol で通信を行う 
   Master Peer Agent です。


------------------------------------------------------------------------------------------------
Q. SNMP を使用しないと Oracle を管理することはできないのでしょうか。

A. 多種多様な操作が可能なコマンドラインからの操作に加え、例えば、弊社製品 Oracle Enterprise Manager
   をご利用頂くことで管理を行う方法が考えられます。 また弊社ミドルウェア製品をご利用頂くことで独自に
   アプリケーションを作成頂くことが可能となります。
   また Oracle 9i からは、Oracle Enterprise Manager の機能であるイベントハンドラーをご利用頂くことで、
   外部コマンドとの連携が可能となります。


------------------------------------------------------------------------------------------------
Q. システムが明らかにこの障害に該当しないかどうか判断する方法はありますか。

A. 以下の方法で確認します。
   - Unix の場合
     以下のコマンドで master_peer encap_peer プロセスが存在するかご確認下さい。

       ps -ef |grep peer

           master_peer
           encap_peer

    これらのプロセスが存在しない場合この障害に該当致しません。

   - WindowsNT/2000 の場合

     OracleSNMP(<ORACLE_HOME>)PeerMasterAgent サービスが起動されておらず、
     agent.exe プロセスがタスクマネージャに存在しない場合、この障害に該当致しません。


------------------------------------------------------------------------------------------------
Q. IBM AIX 用のパッチは存在しませんが問題ないのでしょうか。

A. IBM AIX では Master Peer Agent は使用されておりませんので弊社ソフトウェアが
   本障害の影響を受けることはございません。


------------------------------------------------------------------------------------------------
Q. 9.0.1/8.1.7 用といった形で本問題に対するパッチが提供されていますが、これらのパッチは
   PSR (Patch Set Release) を適用した環境への適用は可能ですか。

A. 本パッチは PSR を適用した環境にも適用可能です。
   例えば 8.1.7 用のパッチは、8.1.7 用の PSR が適用されているどの環境にも適用することができます。 
   本パッチで提供されているモジュールは PSR とは独立したモジュールとなっていますので、
   PSR 適用の有無が問題となることはありません。


------------------------------------------------------------------------------------------------
Q. Master Peer Agent が起動されていない場合にもこの問題は発生するのでしょうか。

A. この障害が発生するには必ず Master Peer Agent が起動されている必要がございます。
   起動されていない場合には発生致しません。

   なお、SNMP 管理ステーションから MIB の取得 TRAP の取得を行われていらっしゃらない
   場合には、このプロセス又はサービスを停止頂いても問題ございません。


------------------------------------------------------------------------------------------------
Q. どのような場合にこの障害が発生するのでしょうか。

A. 外部から第3者より不正なアクセスが行われた場合に発生します。 従いまして Oracle データベースが
   Firewall 内に存在し、Firewall により保護されている場合には、外部から第3者により不正な
   アクセスを受けることはなくなります。


------------------------------------------------------------------------------------------------
Q. この障害が起きた時の影響を教えて下さい。

A. Master Peer Agent が正常に機能しない又はダウンするといった可能性が考えられます。


------------------------------------------------------------------------------------------------
Q. IBM AIX 以外の Unix でこの障害の為に Master Peer Agent が正しく機能しなくなりました。
   応急処置を教えて下さい。

A. IBM AIX 以外の Unixの場合以下の方法で master_peer encap_peer OS SNMP デーモン 
   Intelligent Agent を再起動します。

   1. Oracle ユーザーで Intelligent Agent を停止します。
      1-1. 8.1.7 以前のバージョンでは以下のコマンドで停止します。

           lsnrctl dbsnmp_stop

      1-2. 9.0.1 以降のバージョンでは以下のコマンドで停止します。

           agentctl stop agent

   2. root ユーザーで以下を実行します。
      2-1. OS SNMP デーモンを停止します。
      2-2. ps -ef |grep peer で master_peer encap_peer プロセスのプロセス番号を確認し、
           プロセスを Kill します。
      2-3. $ORACLE_HOME/network/snmp/peer ディレクトリに移動します。

           cd $ORACLE_HOME/network/snmp/peer

      2-4. 次のコマンドで master_peer encap_peer OS SNMP デーモンを起動します。

           ./start_peer -a

   3. Oracle データベースの情報の取得の為、Oracle ユーザーで Intelligent Agent を起動します。
      3-1. 8.1,7 以前のバージョンでは以下のコマンドで起動します。

           lsnrctl dbsnmp_start

      3-2. 9.0.1 以降のバージョンでは以下のコマンドで起動します。

           agentctl start agent

------------------------------------------------------------------------------------------------
Q. WindowsNT/2000 でこの障害の為に Master Peer Agent が正しく機能しなくなりました。
   応急処置を教えて下さい。

A. WindowsNT/2000 の場合以下のコマンドで SNMP 関連コンポーネントを再起動します。

   停止
     1. コントロールパネルのサービス(Windowns2000 はコントロールパネルの
        管理ツールのサービス)で以下のサービスを停止します。

           SNMP
           SNMP Trap Service
           Oracle(<ORACLE_HOME>)Agent サービス (8.0.x では OracleAgent80 です。)
           OracleSNMP(<ORACLE_HOME>)PeerEncapsulatorサービス
           OracleSNMP(<ORACLE_HOME>)PeerMasterAgentサービス
     2. agent.exe プロセスが タスクマネージャに存在する場合はプロセスを終了します。


   起動
     1. コントロールパネルのサービス(Windowns2000 はコントロールパネルの
        管理ツールのサービス)よりサービスを起動します。

           SNMP
           SNMP Trap Service

     2. コマンドプロンプトより以下を実行します。

           START %ORACLE_HOME%\bin\agent %ORACLE_HOME%\network\admin\master.cfg %ORACLE_HOME%\
           network\log\master.log  

           (必ず一行でご記述下さい。 また、V8.0.x の場合は network を net80 に変更して下さい)

     3. 再びコントロールパネルのサービスより以下のサービスを起動します。

           Oracle(<ORACLE_HOME>)Agent サービス (V8.0,x は OracleAgent80)
           OracleSNMP(<ORACLE_HOME>)PeerEncapsulator サービス

------------------------------------------------------------------------------------------------
Q. WindowsNT/2000 でサービスを使用しないようにすることは可能でしょうか。

A. 以下の方法でサービスを無効にすることでそのサービスを使えなくする方法がございます。

      WindowsNT の場合

          コントロール パネルのサービスに OracleSNMP(<ORACLE_HOME>)MasterAgent サービスが
          存在する場合それを選択し、停止 をクリックします。
          スタートアップを選択し、無効にするをクリックします。


      Windows2000 の場合

          コントロールパネルの管理ツールのサービスに OracleSNMP(<ORACLE_HOME>)MasterAgent サービスが
          存在する場合それを選択し、停止 をクリックします。
          スタートアップを選択し、無効にするをクリックします。
          サービスの一覧から OracleSNMP(<ORACLE_HOME>)MasterAgent サービスを見つけ、それを選択し、
          停止をクリックします。
          スタートアップを選択し、無効にするをクリックします。
------------------------------------------------------------------------------------------------

[修正履歴]
2006/04/04 スペルミス訂正
2004/06/03 文書管理情報を更新
2003/09/22 更新履歴を降順に変更
2002/12/13 パッチ情報の URL の変更
2002/08/02 Q&A の追加 (本問題に対するパッチと PSR (Patch Set Release) について)
2002/03/29 対象リリース情報更新
           (Oracle9i Release 9.0.1.x -> Oracle9i Database Release 9.0.1.x)