文書番号 49069 最終更新日 2006-02-14 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (1.0.0 - 1.0.2) [SSL Module]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 51225  
概要 CA-2002-23 OpenSSLの複数のセキュリティの脆弱性について
内容:
【問題】
2002/07/31 に CERT から出されました OpenSSLの複数のセキュリティの脆弱性について
http://www.cert.org/advisories/CA-2002-23.html
CERT(R) Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL


【問題概要】

OpenSSL の 0.9.6e より前のバージョンに複数のセキュリティの脆弱性が存在します。
外部の悪意のあるユーザーから任意のコードを実行、またサービスの妨害(DoS)を
引き起こす可能性があります。

    These problems are described in the OpenSSL Security Advisory [30 July 2002]:
    http://www.openssl.org/news/secadv_20020730.txt

    These problems are also described in CERT Advisory CA-2002-23:
    http://www.cert.org/advisories/CA-2002-23.html


【現在の状況】

 現在 本件に対応するための修正の入ったパッチが公開されています。
 パッチの情報につきましては【パッチ公開情報】をご参照下さい。


【影響のあるリリース】

   - Oracle9i Application Server(以下 9iAS) リリース 1.0.2.x  
   - Oracle Internet Application Server8i   リリース 1.0.0/1.0.1  
   - Oracle9i Database                      リリース 9.2.0.x  
   - Oracle9i Database                      リリース 9.0.1.x  
   - Oracle8i Databese                      リリース 8.1.7.x  

   *) Oracle9i Application Server R2 (9.0.2) には OpenSSL の
      モジュールが含まれないために影響はありません。

   *) EBS 11iのOracle HTTP Serverについては、KROWN#51225 をご参照ください。

【影響のないリリース】

   - Oracle Application Server 10g (9.0.4)
   - Oracle9i Application Server Release 2(9.0.3) 
   - Oracle9i Application Server Release 2(9.0.2) 
   - Oracle Database 10g Release 1 (10.1.0)


【影響のあるプラットフォーム】

    Sun
    -----
    Sun SPARC Solaris
    Sun SPARC Solaris (64-bit) 
    
    Microsoft Windows
    -----------------
    MS Windows NT
    MS Windows 2000
    MS Windows XP Professional(32-bit)
    MS Windows Server 2003(32-bit) 
    
    HP
    ------
    HP Tru64 UNIX
    
    HP
    ---
    HP 9000 Series HP-UX
    HP 9000 Series HP-UX (64-bit) 
    
    IBM
    ----
    IBM RS 6000 AIX
    IBM RS 6000 AIX (64-bit)
      
    Linux
    --------
    Intel Based Server LINUX 

【回避策】

SSL の設定有効にせずに起動をしていた場合には本問題の影響はありません。


【パッチ公開情報】

● 2002年11月06日時点での公開状況

《Oracle9iAS  リリース 1.0.2.2用》

       プラットフォーム     公開状況          パッチファイル名    
      -----------------    --------------   ----------------------------
   ・Solaris             ○ パッチ公開中   p2492925_1319_SOLARIS.zip
   ・Windows NT/2000     ○ パッチ公開中   p2492925_1319_WINNT.zip
   ・HP-UX               ○ パッチ公開中   p2492925_1319_HPUX11.zip
   ・AIX                 ○ パッチ公開中   p2492925_1319_AIX.zip
   ・HP Tru64 UNIX       ○ パッチ公開中   p2492925_1319_TRU64.zip
   ・Linux               ○ パッチ公開中   p2492925_1319_LINUX.zip

《Oracle9iAS  リリース 1.0.2.1用》

       プラットフォーム     公開状況          パッチファイル名    
      -----------------    --------------   ----------------------------
   ・Solaris             ○ パッチ公開中   p2492925_1312_SOLARIS.zip
   ・Windows NT/2000     ○ パッチ公開中   p2492925_1312_WINNT.zip
   ・HP-UX               ○ パッチ公開中   p2492925_1312_HPUX11.zip
   ・AIX                 ○ パッチ公開中   p2492925_1312_TRU64.zip
   ・HP Tru64 UNIX       ○ パッチ公開中   p2492925_1312_AIX.zip
   ・Linux               ○ パッチ公開中   p2492925_1312_LINUX.zip

《Oracle9iAS  リリース 1.0.2.0用》

       プラットフォーム     公開状況          パッチファイル名    
      -----------------    --------------   ----------------------------
   ・Solaris             ○ パッチ公開中   p2492925_102_SOLARIS.zip
   ・Windows NT/2000     ○ パッチ公開中   p2492925_102_WINNT.zip
   ・HP-UX               ○ パッチ公開中   p2492925_102_HPUX.zip
   ・AIX                 ○ パッチ公開中   p2492925_102_AIX.zip
   ・HP Tru64 UNIX       ○ パッチ公開中   p2492925_102_TRU64.zip
   ・Linux               ○ パッチ公開中   p2492925_1020_LINUX.zip

《Oracle9i データベース リリース 9.2 用》

       プラットフォーム          公開状況          パッチファイル名    
      -----------------         --------------   ----------------------------
   ・Solaris                  ○ パッチ公開中   p2492925_9200_SOLARIS.zip
   ・Windows NT/2000/XP/2003  ○ パッチ公開中   p2492925_9200_WINNT.zip     
   ・HP-UX                    ○ パッチ公開中   p2492925_9200_HPUX11.zip  
   ・AIX                      ○ パッチ公開中   p2492925_9200_AIX.zip     
   ・HP Tru64 UNIX            ○ パッチ公開中   p2492925_9200_TRU64.zip
   ・Linux                    ○ パッチ公開中   p2492925_9200_LINUX.zip   

《Oracle9i データベース リリース 9.0.1 用》

       プラットフォーム     公開状況          パッチファイル名    
      -----------------    --------------   ----------------------------
   ・Solaris             ○ パッチ公開中   p2492925_9010_SOLARIS.zip
   ・Windows NT/2000/XP  ○ パッチ公開中   p2492925_9010_WINNT.zip
   ・HP-UX               ○ パッチ公開中   p2492925_9010_HPUX11.zip
   ・AIX                 ○ パッチ公開中   p2492925_9010_AIX.zip
   ・HP Tru64 UNIX       ○ パッチ公開中   p2492925_9010_TRU64.zip
   ・Linux               ○ パッチ公開中   p2492925_9100_LINUX.zip   

《Oracle8i データベース リリース 8.1.7 用》

       プラットフォーム     公開状況          パッチファイル名    
      -----------------    --------------   ----------------------------
   ・Solaris             ○ パッチ公開中   p2492925_8170_SOLARIS.zip
   ・Windows NT/2000     ○ パッチ公開中   p2492925_8170_WINNT.zip
   ・HP-UX               ○ パッチ公開中   p2492925_8170_HPUX11.zip
   ・AIX                 ○ パッチ公開中   p2492925_8170_AIX.zip
   ・HP Tru64 UNIX       ○ パッチ公開中   p2492925_8170_TRU64.zip
   ・Linux               ○ パッチ公開中   p2492925_8170_LINUX.zip   


    注)
    iAS8i R1.0.0/R1.0.1 への修正は現在行なわれる予定がありません。
    これらのバージョンをご使用の場合には、バージョンアップをご検討いただきますよう
    お願い致します。


    ◆公開済みのパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> OpenSSLの複数のセキュリティの脆弱性(2002/8/2公開)
        -->  [対応策]  


【よくあるご質問と回答】

Q1. OpenSSL.org等で出されている最新バージョンを 9iAS等に適用することは可能でしょうか?

A1. 本問題の影響のあるリリースに含まれる OpenSSL のモジュールは Oracle独自に作成が
    されているために OpenSSL.org側でだされたパッチをそのまま適用することはできません。
    弊社から提供されるパッチを適用頂けますようお願い致します。


【参考資料】

http://www.cert.org/advisories/CA-2002-23.html
CERT(R) Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL

http://www.openssl.org/news/secadv_20020730.txt
OpenSSL Security Advisory [30 July 2002]

http://www.kb.cert.org/vuls/id/102795
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0656
VU#102795 - OpenSSL servers contain a buffer overflow during the SSLv2 handshake process 

http://www.kb.cert.org/vuls/id/258555
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0656
VU#258555 - OpenSSL clients contain a buffer overflow during the SSLv3 handshake process

http://www.kb.cert.org/vuls/id/561275
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0657
VU#561275 - OpenSSL servers with Kerberos enabled contain a remotely exploitable buffer 
overflow vulnerability during the SSLv3 handshake process 

http://www.kb.cert.org/vuls/id/308891
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0655
VU#308891 - OpenSSL contains multiple buffer overflows in buffers that are used to 
hold ASCII representations of integers 

http://www.kb.cert.org/vuls/id/748355
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0659
VU#748355 - ASN.1 encoding errors exist in implementations of SSL, TLS, S/MIME, PKCS#7 routines


【その他】

米国オラクルからだされております Security Alert#37 の中に記述のございます
CorporateTime Outlook Connector 並びに Oracle Outlook Connector は
現在のところ日本オラクルから販売/出荷されておりません。


【更新履歴】
2006/02/14 Windowsプラットフォームを追加
2004/05/25 影響の無いリリース を追加
2002/07/31 本KROWN登録
2002/08/02 対応状況等の更新
2002/08/02 本KROWNを一般公開
2002/08/06 パッチ公開状況の更新
2002/08/07 パッチ公開状況の文章を更新
2002/08/12 パッチ公開状況の更新(Sol/NT:ALL,HP:1021)
2002/08/13 パッチ公開状況の更新(Sol:ALL,NT:1022/1021/1020/901,HP:1022/1021,AIX:1022,Tru:1021,Lnx:1022)
2002/08/14 パッチ公開状況の更新(HP:1022,AIX:1022/1021,Lux:1022)
2002/08/15 パッチ公開状況の更新(AIX:1021)
2002/08/16 パッチ公開状況の更新(NT:817,HP:1020/901/817,AIX:1020/817,Tru:1022/1021)
2002/08/19 パッチ公開状況の更新(HP:1020/901/817,AIX:1020/817,Tru:1022/817)
2002/08/20 パッチ公開状況の更新日を更新
2002/08/21 パッチ公開状況の更新(Tru:817)
2002/08/22 パッチ公開状況の更新日を更新
2002/08/27 パッチ公開状況の更新(AIX:901)
2002/08/28 パッチ公開状況の更新(AIX:901)
2002/08/29 パッチ公開状況の更新(Tru:1020/901)
2002/09/03 パッチ公開状況の更新(Tru:901)
2002/09/11 パッチ公開状況の更新(NT/HP/AIX/Tru/Lnx:920,Lnx:901/817)
2002/09/24 EBS 11iのOracle HTTP Serverについての参照KROWNを紹介
2002/09/25 パッチ公開状況の更新(Lnx:1021)
2002/11/06 パッチ公開状況の更新(Lnx:1020)
2002/11/06 すべてのパッチが公開された事に伴う文章の変更
2002/12/17 www.oracle.co.jp を otn.oracle.co.jp に変更