文書番号 49732 最終更新日 2006-02-14 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (1.0.0 - 9.0.2) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 Oracle Java Server Page (OJSP) デモのセキュリティ脆弱性の問題
内容:
Oracle JAVA Server Page (OJSP) デモのセキュリティ脆弱性の問題

【問題概要】
Oracle HTTP Server (OHS) にデフォルトで用意されている Oracle JAVA Server Page 
(OJSP) のデモページにクロスサイト・スクリプティング(CSS) セキュリティの脆弱性
が存在することが判明しました。

● CSS問題の含まれる OJSP のデモページURL

- Oracle9iAS 1.0.2.x,
  Oracle Internet Application Server8i  1.0.1 for Windows
  Oracle9i Database 9.2.0.x/9.0.1.x, Oracle8i Database 8.1.7.x  
 
   http://host:port/demo/basic/hellouser/hellouser.jsp
   http://host:port/demo/basic/simple/welcomeuser.jsp
   http://host:port/demo/basic/simple/usebean.jsp

- Oracle9iAS  9.0.2.x  

   http://host:port/ojspdemos/basic/hellouser/hellouser.jsp
   http://host:port/ojspdemos/basic/simple/welcomeuser.jsp
   http://host:port/ojspdemos/basic/simple/usebean.jsp

- Oracle Internet Application Server8i  1.0.0

   http://host:port/jspsamples/samples/hellouser/hellouser.jsp


  例えば上記ページで “<script>alert(document.cookie)</script>”を
  テキストボックスの中に入れて submitボタンを押すとブラウザ上で
  “jsessionid”を表示することができてしまいます。


● クロスサイト・スクリプティング脆弱性について

クロスサイト・スクリプティング (CSS) 脆弱性とは、動的な Web ページを生成す
る仕組みを設けている一般の Web サーバにおいて、発生する可能性のある問題です。
この問題は、Web ブラウザからの Form や URL の入力等により、リクエストの一部に

<script> 等のタグが埋め込まれた際、Web サーバー側がそれらの文字列の監査をせず
にそのままの形で動的な Web ページとして表示をした場合に発生します。
すなわち、この動的な Web ページ内には <script> 等のタグが埋め込まれたことにな
り、Web ブラウザーはこのスクリプトを解釈して実行を行ないます。
これは任意のコードが Web ブラウザで実行されてしまう危険性を示しています。

悪意のある Web サイトが、この脆弱性を持つ Web サイトを利用して クライアント
の情報を第三者に対して漏洩させる可能性があります。

このクロスサイト・スクリプティング脆弱性の問題は以下のような場合に発生しま
す。

1.「Web コンテンツの提供者作成の動的な Web ページ」を生成する Web アプリケー
   ションにおいて、クライアント側からのリクエストの文字列をそのまま表示を行
   なっている場合

2. Web サーバー側の設定によって、デモ画面やエラーページ等でクライアント側か
   らのリクエストの文字列をそのまま表示をする物がある場合
   (今回のアナウンスはこちらのケースにあたります)


【影響のあるリリース】

   - Oracle9i Application Server           リリース 9.0.2.x  
   - Oracle9i Application Server           リリース 1.0.2.x  
   - Oracle Internet Application Server8i  リリース 1.0.0/1.0.1  
   - Oracle9i Database                     リリース 9.2.0.x  
   - Oracle9i Database                     リリース 9.0.1.x  
   - Oracle8i Database                     リリース 8.1.7.x  


   これらに付属の Oracle HTTP Server にデフォルトで用意されている 
   jspのデモページ

   *) Oracle HTTP Server は apache をベースにOracle社が作成した
      HTTPサーバーです。


【影響のあるプラットフォーム】

    Sun
    -----
    Sun SPARC Solaris
    Sun SPARC Solaris (64-Bit) 
    
    Microsoft  Windows
    -----------------
    MS Windows NT
    MS Windows 2000
    MS Windows XP Professional(32-bit)
    MS Windows Server 2003(32-bit)
    
    HP
    ------
    HP Tru64 UNIX
    
    HP
    ---
    HP 9000 Series HP-UX
    HP 9000 Series HP-UX (64-Bit) 
    
    IBM
    ----
    IBM RS 6000 AIX
    IBM RS 6000 AIX (64-Bit)
      
    Linux
    --------
    Intel Based Server Linux 


【回避策】

Oracle HTTP Server を運用する場合にはこれらの OJSP デモページを
削除して下さい。

以下のディレクトリを削除することによって問題を回避して下さい。

  *) $ORACLE_HOME は Oracle9iAS または Oracle9i/8i Database が
     インストールされている Oracle_home を指します。

- Oracle9iAS 1.0.2.x,
  Oracle9i Database 9.2.0.x/9.0.1.x, Oracle8i Database 8.1.7.x  

$ORACLE_HOME/apache/apache/htdocs/demo/basic/simple
$ORACLE_HOME/apache/apache/htdocs/demo/basic/hellouser

- Oracle9iAS  9.0.2.x  

$ORACLE_HOME/j2ee/oc4j_demos/Applications/ojspdemos/ojspdemos-web/basic/simple
$ORACLE_HOME/j2ee/oc4j_demos/Applications/ojspdemos/ojspdemos-web/basic/hellouser

- Oracle Internet Application Server8i  1.0.0/1.0.1

$ORACLE_HOME/apache/OJSP/Webroot/samples/hellouser


【修正情報】

本問題は、Oracle9iAS リリース 9.0.3 にて修正されています。


【参考資料】

・Cert「Understanding Malicious Content Mitigation For Web Developers」
http://www.cert.org/tech_tips/malicious_code_mitigation.html

・情報処理振興事業協会 セキュリティセンター 
http://www.ipa.go.jp/security/ciadr/20011023css.html

・産業技術総合研究所
http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf

【謝辞】
オラクル社は本件を発見し注意を喚起して頂きましたWestpoint社の Matt Moore氏に
深く感謝をいたします。

【更新履歴】
2006/02/14 Windowsプラットフォームの追加
2004/05/25 文書管理情報を更新
2003/05/23 9.0.3にて修正を追加
2002/11/27 (2002/9/2出荷予定) を削除
2002/08/29 誤字の修正
2002/08/16 表題から[9iAS]を削除
2002/08/14 本KROWN作成