Oracle JAVA Server Page (OJSP) デモのセキュリティ脆弱性の問題
【問題概要】
Oracle HTTP Server (OHS) にデフォルトで用意されている Oracle JAVA Server Page
(OJSP) のデモページにクロスサイト・スクリプティング(CSS) セキュリティの脆弱性
が存在することが判明しました。
● CSS問題の含まれる OJSP のデモページURL
- Oracle9iAS 1.0.2.x,
Oracle Internet Application Server8i 1.0.1 for Windows
Oracle9i Database 9.2.0.x/9.0.1.x, Oracle8i Database 8.1.7.x
http://host:port/demo/basic/hellouser/hellouser.jsp
http://host:port/demo/basic/simple/welcomeuser.jsp
http://host:port/demo/basic/simple/usebean.jsp
- Oracle9iAS 9.0.2.x
http://host:port/ojspdemos/basic/hellouser/hellouser.jsp
http://host:port/ojspdemos/basic/simple/welcomeuser.jsp
http://host:port/ojspdemos/basic/simple/usebean.jsp
- Oracle Internet Application Server8i 1.0.0
http://host:port/jspsamples/samples/hellouser/hellouser.jsp
例えば上記ページで “<script>alert(document.cookie)</script>”を
テキストボックスの中に入れて submitボタンを押すとブラウザ上で
“jsessionid”を表示することができてしまいます。
● クロスサイト・スクリプティング脆弱性について
クロスサイト・スクリプティング (CSS) 脆弱性とは、動的な Web ページを生成す
る仕組みを設けている一般の Web サーバにおいて、発生する可能性のある問題です。
この問題は、Web ブラウザからの Form や URL の入力等により、リクエストの一部に
<script> 等のタグが埋め込まれた際、Web サーバー側がそれらの文字列の監査をせず
にそのままの形で動的な Web ページとして表示をした場合に発生します。
すなわち、この動的な Web ページ内には <script> 等のタグが埋め込まれたことにな
り、Web ブラウザーはこのスクリプトを解釈して実行を行ないます。
これは任意のコードが Web ブラウザで実行されてしまう危険性を示しています。
悪意のある Web サイトが、この脆弱性を持つ Web サイトを利用して クライアント
の情報を第三者に対して漏洩させる可能性があります。
このクロスサイト・スクリプティング脆弱性の問題は以下のような場合に発生しま
す。
1.「Web コンテンツの提供者作成の動的な Web ページ」を生成する Web アプリケー
ションにおいて、クライアント側からのリクエストの文字列をそのまま表示を行
なっている場合
2. Web サーバー側の設定によって、デモ画面やエラーページ等でクライアント側か
らのリクエストの文字列をそのまま表示をする物がある場合
(今回のアナウンスはこちらのケースにあたります)
【影響のあるリリース】
- Oracle9i Application Server リリース 9.0.2.x
- Oracle9i Application Server リリース 1.0.2.x
- Oracle Internet Application Server8i リリース 1.0.0/1.0.1
- Oracle9i Database リリース 9.2.0.x
- Oracle9i Database リリース 9.0.1.x
- Oracle8i Database リリース 8.1.7.x
これらに付属の Oracle HTTP Server にデフォルトで用意されている
jspのデモページ
*) Oracle HTTP Server は apache をベースにOracle社が作成した
HTTPサーバーです。
【影響のあるプラットフォーム】
Sun
-----
Sun SPARC Solaris
Sun SPARC Solaris (64-Bit)
Microsoft Windows
-----------------
MS Windows NT
MS Windows 2000
MS Windows XP Professional(32-bit)
MS Windows Server 2003(32-bit)
HP
------
HP Tru64 UNIX
HP
---
HP 9000 Series HP-UX
HP 9000 Series HP-UX (64-Bit)
IBM
----
IBM RS 6000 AIX
IBM RS 6000 AIX (64-Bit)
Linux
--------
Intel Based Server Linux
【回避策】
Oracle HTTP Server を運用する場合にはこれらの OJSP デモページを
削除して下さい。
以下のディレクトリを削除することによって問題を回避して下さい。
*) $ORACLE_HOME は Oracle9iAS または Oracle9i/8i Database が
インストールされている Oracle_home を指します。
- Oracle9iAS 1.0.2.x,
Oracle9i Database 9.2.0.x/9.0.1.x, Oracle8i Database 8.1.7.x
$ORACLE_HOME/apache/apache/htdocs/demo/basic/simple
$ORACLE_HOME/apache/apache/htdocs/demo/basic/hellouser
- Oracle9iAS 9.0.2.x
$ORACLE_HOME/j2ee/oc4j_demos/Applications/ojspdemos/ojspdemos-web/basic/simple
$ORACLE_HOME/j2ee/oc4j_demos/Applications/ojspdemos/ojspdemos-web/basic/hellouser
- Oracle Internet Application Server8i 1.0.0/1.0.1
$ORACLE_HOME/apache/OJSP/Webroot/samples/hellouser
【修正情報】
本問題は、Oracle9iAS リリース 9.0.3 にて修正されています。
【参考資料】
・Cert「Understanding Malicious Content Mitigation For Web Developers」
http://www.cert.org/tech_tips/malicious_code_mitigation.html
・情報処理振興事業協会 セキュリティセンター
http://www.ipa.go.jp/security/ciadr/20011023css.html
・産業技術総合研究所
http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf
【謝辞】
オラクル社は本件を発見し注意を喚起して頂きましたWestpoint社の Matt Moore氏に
深く感謝をいたします。
【更新履歴】
2006/02/14 Windowsプラットフォームの追加
2004/05/25 文書管理情報を更新
2003/05/23 9.0.3にて修正を追加
2002/11/27 (2002/9/2出荷予定) を削除
2002/08/29 誤字の修正
2002/08/16 表題から[9iAS]を削除
2002/08/14 本KROWN作成
|
Topics
Printer View