OJKB53962

ホーム
コンテンツにスキップ
検索にスキップ

サインインアカウント

Oracleアカウント

サインアウト

Oracleアカウント

アカウントを管理して、パーソナライズされたコンテンツにアクセスできます。
サインインアカウントを作成

クラウド・アカウント

クラウド・ダッシュボードへのアクセス、ご注文の管理など、さまざまな操作を行えます。
サインイン国を選択
- アカウント
- ヘルプ
国を選択
電話

文書番号	53962	最終更新日	2004-05-14	公開区分	一般公開	文書タイプ	PROBLEM

製品名(バージョン)[コンポーネント]	Oracle Server - Enterprise Edition (9.0.1 - 9.2.0.2) [SQL*PLUSおよびその他ユーティリィティ]
プラットフォーム(バージョン)	すべてのプラットフォーム ( - )
関連文書

概要 #46: iSQL*Plus の潜在的なセキュリティーの脆弱性

内容:

概要	#46: iSQL*Plus の潜在的なセキュリティーの脆弱性
内容:
[対象リリース] 　問題が発生するリリース　: - Oracle9i Database Release 9.0.1.X (Windows版のみ) - Oracle9i Database Release 9.2.0.1 and 9.2.0.2 (注)iSQLPlusはRelease 9.0.1ではWindows版のみの提供となります。 UNIXプラットフォームは Release 9.2 からの提供となります。　問題を修正したリリース　 : - Oracle Database 10g (10.1.0) 　問題を修正予定のリリース : - なし　問題を修正したPSR 　　　: - Oracle9i Database Release 9.2.0.3 　問題を修正予定のPSR　　　: - なし [対象プラットフォーム] 全てのプラットフォームが対象となります。 [起こりうる条件] 　コンポーネントiSQLPlus を使用した場合にのみ発生します。したがって、iSQLPlusをインストールしていない、またはiSQLPlus の環境を構成されていない場合は今回の問題は発生いたしません。「iSQLPlus」と「SQLPlus」とは別のコンポーネントです。　(注)SQLPlusを使用した場合には、本件に該当いたしません。 [起こりうる現象] iSQLPlus に潜在的なセキュリティに関する脆弱性が確認されました。悪意のあるユーザーがOracleへの接続を行う際に特定のデータ長を越えるユーザー名を指定すると、iSQLPlusが管理する内部バッファ要領を越えての不正なメモリ・アクセスが発生します。 (問題が発生する閾値につきましては非公開といたします) この結果iSQLPlusを使用した場合、予期できないエラーを発生させることがあります。 [原因] iSQLPlusでは、ユーザー名の内部管理に問題があり、一定のサイズを越えてユーザー名が指定された場合に、正規に確保されたメモリ領域を越えての書き込みが発生いたしました。 [回避策] iSQLPlusを業務または開発用サイトで使用していない場合は、iSQLPlus を停止します。 iSQLPlusを使用する場合は、不必要に長いユーザー名を指定しないでください。 [現象発生時の対応策] 　iSQLPlusサーバーが停止した場合は、再起動を行います。　既に修正パッチが提供されている場合は、パッチの適用をご検討ください。 [パッチ情報] パッチの存在するプラットフォーム/バージョンにつきましては、パッチ適用による現象回避をご検討ください。サポート契約をお持ちのお客様はOISCより以下のパッチをご入手いただけます。　次のリンクを辿っていただきます。　「パッチ」-「SQLPlus 」プラットフォームバージョン提供状況 WindowsNT/2000/XP - 9.0.1.X - 提供可 ( p2581911_9010_WINNT.exe 348,160 Bytes) SPARC Solaris 32Bit - 9.2.0.1 - 提供可 ( p2581911_9201_SOLARIS32_tar.Z 22,174 Bytes) SPARC Solaris 64Bit - 9.2.0.1 - 提供可 ( p2581911_9201_SOLARIS64.tar.Z 22,335 Bytes) HP-UX 64Bit - 9.2.0.1 - 提供可 ( p2581911_9201_HP64_tar.Z 23,273 Bytes) AIX 64Bit - 9.2.0.1 - 提供可 ( p2581911_9201_AIX433_tar.Z 20,723 Bytes) AIX 64Bit 5L - 9.2.0.1 - 提供可 ( p2581911_9201_AIX5L_tar.Z 20,278 Bytes) HP Tru64 UNIX - 9.2.0.1 - 提供可 ( p2581911_9201_TRU64_tar.Z 33,860 Bytes) Linux - 9.2.0.1 - 提供可 ( p2581911_9201_LINUX.tar.Z 15,035 Bytes) WindowsNT/2000/XP - 9.2.0.1 - 提供可 ( p2581911_9201_WINNT.exe 319,488 Bytes) SPARC Solaris 32Bit - 9.2.0.2 - 提供可 ( p2581911_9202_SOLARIS.zip 45,776 Bytes) SPARC Solaris 64Bit - 9.2.0.2 - 提供可 ( p2581911_9202_SOLARIS64.zip 146,044 Bytes) HP-UX 64Bit - 9.2.0.2 - 提供可 ( p2581911_9202_HP64.zip 144,619 Bytes) AIX 64Bit - 9.2.0.2 - 提供可 ( p2581911_9202_AIX64.zip 20,723 Bytes) AIX 64Bit 5L - 9.2.0.2 - 提供可 ( p2581911_9202_AIX64-5L.zip 141,266 Bytes) HP Tru64 UNIX - 9.2.0.2 - 提供可 ( p2581911_9202_TRU64.zip 152,269 Bytes) Linux - 9.2.0.2 - 提供可 ( p2581911_9202_LINUX.zip 139,583 Bytes) WindowsNT/2000/XP - 9.2.0.2 - 提供可 ( p2581911_9202_MSWIN.zip 257,785 Bytes) [よくある質問と回答] Q1. 今回のiSQLPlus に係わる問題はOracle8i Release8.1.X またはRelease8.0.X でも関連がありますか？ A1.　iSQLPlus はOracle9i Server　R9.2.0(Windows2000/XPはR9.0.1)から提供された機能です。したがいまして、Oracle8i Release8.1.X 及び 9.0.1 では該当いたしません。 Q2. SQLPlus を使用した場合、今回の問題は発生しませんか？ A2. iSQLPlus とSQLPlusは製品が異なります。今回の問題はiSQLPlusのみに該当いたします。 Q3. iSQLPlusがインストールされているかを確認する方法はありますか？ A3. Oracle UNIVERSAL INSTALLER を起動してインストール済みの製品コンポーネントを確認します。 Q4. iSQLPlusが構成されているかを確認する方法はありますか？ A4. iSQLPlus はOracle HTTP Server を使用します。したがいまして、Oracle HTTP Serverを使用していない場合は、iSQLPlusも使用されていません。また、Oracle HTTP Server が稼動している状態であっても以下の設定が無い場合 iSQLPlus は使用可能状態にはありません。 - 設定ファイルのあるディレクトリ A. Windows %ORACLE_HOME%\APACHE\APACHE\CONF B. UNIX $ORACLE_HOME/Apache/Apache/conf - 設定ファイル oracle_apache.conf - 記述内容以下の記述が含まれる場合、iSQLPlusは稼動可能な状態にあります。 A. Windows INCLUDE "ORACLE_HOME\SQLPLUS\ADMIN\ISQLPLUS.CONF" B. UNIX INCLUDE "ORACLE_HOME/sqlplus/admin/isqlplus.conf" (注)ORACLE_HOMEにはOracleホーム・ディレクトリへのパスが指定されます。もし、この記述がある場合は、１カラム目に#を記述することでコメントになります。 #INCLUDE "ORACLE_HOME\SQLPLUS\ADMIN\ISQLPLUS.CONF" (Windowsの場合) [その他] 　KROWN: N/A 　BUG: N/A 　補足説明 N/A 　参照情報　 - 以下のマニュアルを参照くいださい。「SQLPlus ユーザーズ・ガイドおよびリファレンスリリース9.2」 (J06266-01) 「SQLPlusユーザーズ・ガイドおよびリファレンスリリース9.0.1」 (J04131-01) 「iSQL*Plusユーザーズ・ガイドおよびリファレンスリリース9.0.1」(J04133-01) [謝辞] オラクル社はこの脆弱性に関する情報を提供していただきました NEXT GENERATION SECURITY SOFTWARE 社の DAVID LITCHFIELD 氏に深く感謝をいたします。 [更新履歴] 2004/05/14 文書管理情報を更新 2004/05/10 修正リリース情報を更新 2003/06/03 [問題を修正したPSR]を変更(なし->9.2.0.3) 2003/02/18 R9.2.0.2 / MS Windows の提供を開始いたしました。 2003/02/07 [原因]の説明文を変更いたしました 2003/01/21 R9.2.0.2 / IBM RS/6000 AIX 5L 用のパッチを公開しました。 2003/01/07　パッチへのリンクを更新「技術情報」->「パッチ」へ変更 2003/01/07 [更新履歴]バージョン表記に誤りがありました。(9.0.2.2->9.2.0.2) 2002/12/19 R9.2.0.2 / Sun Solaris 32Bit用のパッチを公開しました。 2002/12/11 R9.2.0.2 用のパッチを公開しました。(一部プラットフォームを除く) 2002/11/20 R9.2.0.1 / IBM RS/6000 AIX 5L の提供を開始いたしました。 2002/11/15 R9.2.0.1 用のパッチを公開　　　　　　　- Windows版のみ、R9.0.1を提供　　　　　　 - AIX－5L に関しましては作業中ですので本日以降の公開となります。　　　　　　　公開準備が完了いたしましたら本KROWNでご案内いたします。 2002/11/14 パッチ情報を更新しました(ファイル名、サイズ他) 2002/11/07 KROWN:53962 一般公開 2002/11/06 誤字を訂正 2002/11/06 KROWN:53962 保守契約ユーザー様へ開示 2002/11/01 KROWN:53962 登録

[対象リリース] 　問題が発生するリリース　: - Oracle9i Database Release 9.0.1.X (Windows版のみ) - Oracle9i Database Release 9.2.0.1 and 9.2.0.2 (注)iSQL*PlusはRelease 9.0.1ではWindows版のみの提供となります。 UNIXプラットフォームは Release 9.2 からの提供となります。　問題を修正したリリース　 : - Oracle Database 10g (10.1.0) 　問題を修正予定のリリース : - なし　問題を修正したPSR 　　　: - Oracle9i Database Release 9.2.0.3 　問題を修正予定のPSR　　　: - なし [対象プラットフォーム] 全てのプラットフォームが対象となります。 [起こりうる条件] 　コンポーネントiSQL*Plus を使用した場合にのみ発生します。したがって、iSQL*Plusをインストールしていない、またはiSQL*Plus の環境を構成されていない場合は今回の問題は発生いたしません。「iSQL*Plus」と「SQL*Plus」とは別のコンポーネントです。　(注)SQL*Plusを使用した場合には、本件に該当いたしません。 [起こりうる現象] iSQL*Plus に潜在的なセキュリティに関する脆弱性が確認されました。悪意のあるユーザーがOracleへの接続を行う際に特定のデータ長を越えるユーザー名を指定すると、iSQL*Plusが管理する内部バッファ要領を越えての不正なメモリ・アクセスが発生します。 (問題が発生する閾値につきましては非公開といたします) この結果iSQL*Plusを使用した場合、予期できないエラーを発生させることがあります。 [原因] iSQL*Plusでは、ユーザー名の内部管理に問題があり、一定のサイズを越えてユーザー名が指定された場合に、正規に確保されたメモリ領域を越えての書き込みが発生いたしました。 [回避策] iSQL*Plusを業務または開発用サイトで使用していない場合は、iSQL*Plus を停止します。 iSQL*Plusを使用する場合は、不必要に長いユーザー名を指定しないでください。 [現象発生時の対応策] 　iSQL*Plusサーバーが停止した場合は、再起動を行います。　既に修正パッチが提供されている場合は、パッチの適用をご検討ください。 [パッチ情報] パッチの存在するプラットフォーム/バージョンにつきましては、パッチ適用による現象回避をご検討ください。サポート契約をお持ちのお客様はOISCより以下のパッチをご入手いただけます。　次のリンクを辿っていただきます。　「パッチ」-「SQL*Plus 」プラットフォームバージョン提供状況 WindowsNT/2000/XP - 9.0.1.X - 提供可 ( p2581911_9010_WINNT.exe 348,160 Bytes) SPARC Solaris 32Bit - 9.2.0.1 - 提供可 ( p2581911_9201_SOLARIS32_tar.Z 22,174 Bytes) SPARC Solaris 64Bit - 9.2.0.1 - 提供可 ( p2581911_9201_SOLARIS64.tar.Z 22,335 Bytes) HP-UX 64Bit - 9.2.0.1 - 提供可 ( p2581911_9201_HP64_tar.Z 23,273 Bytes) AIX 64Bit - 9.2.0.1 - 提供可 ( p2581911_9201_AIX433_tar.Z 20,723 Bytes) AIX 64Bit 5L - 9.2.0.1 - 提供可 ( p2581911_9201_AIX5L_tar.Z 20,278 Bytes) HP Tru64 UNIX - 9.2.0.1 - 提供可 ( p2581911_9201_TRU64_tar.Z 33,860 Bytes) Linux - 9.2.0.1 - 提供可 ( p2581911_9201_LINUX.tar.Z 15,035 Bytes) WindowsNT/2000/XP - 9.2.0.1 - 提供可 ( p2581911_9201_WINNT.exe 319,488 Bytes) SPARC Solaris 32Bit - 9.2.0.2 - 提供可 ( p2581911_9202_SOLARIS.zip 45,776 Bytes) SPARC Solaris 64Bit - 9.2.0.2 - 提供可 ( p2581911_9202_SOLARIS64.zip 146,044 Bytes) HP-UX 64Bit - 9.2.0.2 - 提供可 ( p2581911_9202_HP64.zip 144,619 Bytes) AIX 64Bit - 9.2.0.2 - 提供可 ( p2581911_9202_AIX64.zip 20,723 Bytes) AIX 64Bit 5L - 9.2.0.2 - 提供可 ( p2581911_9202_AIX64-5L.zip 141,266 Bytes) HP Tru64 UNIX - 9.2.0.2 - 提供可 ( p2581911_9202_TRU64.zip 152,269 Bytes) Linux - 9.2.0.2 - 提供可 ( p2581911_9202_LINUX.zip 139,583 Bytes) WindowsNT/2000/XP - 9.2.0.2 - 提供可 ( p2581911_9202_MSWIN.zip 257,785 Bytes) [よくある質問と回答] Q1. 今回のiSQL*Plus に係わる問題はOracle8i Release8.1.X またはRelease8.0.X でも関連がありますか？ A1.　iSQL*Plus はOracle9i Server　R9.2.0(Windows2000/XPはR9.0.1)から提供された機能です。したがいまして、Oracle8i Release8.1.X 及び 9.0.1 では該当いたしません。 Q2. SQL*Plus を使用した場合、今回の問題は発生しませんか？ A2. iSQL*Plus とSQL*Plusは製品が異なります。今回の問題はiSQL*Plusのみに該当いたします。 Q3. iSQL*Plusがインストールされているかを確認する方法はありますか？ A3. Oracle UNIVERSAL INSTALLER を起動してインストール済みの製品コンポーネントを確認します。 Q4. iSQL*Plusが構成されているかを確認する方法はありますか？ A4. iSQL*Plus はOracle HTTP Server を使用します。したがいまして、Oracle HTTP Serverを使用していない場合は、iSQL*Plusも使用されていません。また、Oracle HTTP Server が稼動している状態であっても以下の設定が無い場合 iSQL*Plus は使用可能状態にはありません。 - 設定ファイルのあるディレクトリ A. Windows %ORACLE_HOME%\APACHE\APACHE\CONF B. UNIX $ORACLE_HOME/Apache/Apache/conf - 設定ファイル oracle_apache.conf - 記述内容以下の記述が含まれる場合、iSQL*Plusは稼動可能な状態にあります。 A. Windows INCLUDE "ORACLE_HOME\SQLPLUS\ADMIN\ISQLPLUS.CONF" B. UNIX INCLUDE "ORACLE_HOME/sqlplus/admin/isqlplus.conf" (注)ORACLE_HOMEにはOracleホーム・ディレクトリへのパスが指定されます。もし、この記述がある場合は、１カラム目に#を記述することでコメントになります。 #INCLUDE "ORACLE_HOME\SQLPLUS\ADMIN\ISQLPLUS.CONF" (Windowsの場合) [その他] 　KROWN: N/A 　BUG: N/A 　補足説明 N/A 　参照情報　 - 以下のマニュアルを参照くいださい。「SQL*Plus ユーザーズ・ガイドおよびリファレンスリリース9.2」 (J06266-01) 「SQL*Plusユーザーズ・ガイドおよびリファレンスリリース9.0.1」 (J04131-01) 「iSQL*Plusユーザーズ・ガイドおよびリファレンスリリース9.0.1」(J04133-01) [謝辞] オラクル社はこの脆弱性に関する情報を提供していただきました NEXT GENERATION SECURITY SOFTWARE 社の DAVID LITCHFIELD 氏に深く感謝をいたします。 [更新履歴] 2004/05/14 文書管理情報を更新 2004/05/10 修正リリース情報を更新 2003/06/03 [問題を修正したPSR]を変更(なし->9.2.0.3) 2003/02/18 R9.2.0.2 / MS Windows の提供を開始いたしました。 2003/02/07 [原因]の説明文を変更いたしました 2003/01/21 R9.2.0.2 / IBM RS/6000 AIX 5L 用のパッチを公開しました。 2003/01/07　パッチへのリンクを更新「技術情報」->「パッチ」へ変更 2003/01/07 [更新履歴]バージョン表記に誤りがありました。(9.0.2.2->9.2.0.2) 2002/12/19 R9.2.0.2 / Sun Solaris 32Bit用のパッチを公開しました。 2002/12/11 R9.2.0.2 用のパッチを公開しました。(一部プラットフォームを除く) 2002/11/20 R9.2.0.1 / IBM RS/6000 AIX 5L の提供を開始いたしました。 2002/11/15 R9.2.0.1 用のパッチを公開　　　　　　　- Windows版のみ、R9.0.1を提供　　　　　　 - AIX－5L に関しましては作業中ですので本日以降の公開となります。　　　　　　　公開準備が完了いたしましたら本KROWNでご案内いたします。 2002/11/14 パッチ情報を更新しました(ファイル名、サイズ他) 2002/11/07 KROWN:53962 一般公開 2002/11/06 誤字を訂正 2002/11/06 KROWN:53962 保守契約ユーザー様へ開示 2002/11/01 KROWN:53962 登録

E-mail this page

Oracleアカウント

Oracleアカウント

クラウド・アカウント

お問い合わせ

日本オラクルについて

クラウド

イベント

おすすめコンテンツ

ニュース

主要トピック

Integrated Cloud Applications & Platform Services