文書番号 57339 最終更新日 2008-04-23 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (9.0.2.0.0 - 9.0.2.0.0) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 57542  
概要 #47: Oracle9iAS の複数のセキュリティ脆弱性の問題について
内容: 
[概要]
この KROWN では Oracle9i Application Server の3つのセキュリティ脆弱性
について記述しています。

事象1. Java Server Pages(JSPs) のソースコードが参照できる場合がある問題
事象2. Oracle9iAS のインストール時のファイルの権限が 「Everyone/フル コン
      トロール」になっている問題
事象3. OC4J の WEB-INF フォルダのコンテンツが参照できる場合がある問題


=====================================================================
[事象1]
Java Server Pages(JSPs) のソースコードが参照できる場合がある問題


[対象リリース]

Oracle9i Application Server リリース 9.0.2.0.0


[対象プラットフォーム]

全てのプラットフォーム
 Solaris Operating System 
 HP 9000 Series HP-UX 
 AIX Based Systems 
 HP Tru64 UNIX 
 MS Windows 
 Linux Intel 


[修正リリース]

Oracle9i Application Server リリース 9.0.2.0.1


[回避策] 
Oracle9i Application Server リリース 9.0.2.0.0 は日本では出荷されてお
らず、すべて Oracle9i Application Server リリース 9.0.2.0.1 になります。
そのため、本問題に対しての対策を行う必要はありません。


[パッチ情報]
本問題に対しての個別パッチはありません。


=====================================================================
[事象2]
Oracle9iAS のインストール時のファイルの権限が 「Everyone/フル コントロール」
になっている問題


[対象リリース]

Oracle9i Application Server リリース 1.0.2.2
Oracle9i Application Server リリース 1.0.2.1
Oracle9i Application Server リリース 1.0.2.0
Oracle Internet Application Server8i   リリース 1.0.1
  

[対象プラットフォーム]

 MS Windows (NT,2000)


[修正リリース]

Oracle9i Application Server リリース 9.0.2.0.1


[回避策]
NTFS を使用している場合、ORACLE_HOME 以下のディレクトリのアクセス権限を
Administrators グループと SYSTEMにだけに設定し、他のユーザーから参照で
きないようにして下さい。


[パッチ情報]
本問題に対しての個別パッチはありません。


[参考情報]
Oracle9i Database R9.0.1 以前のデータベース製品においても、上記 事象2 
記載の問題が存在します。データベース製品をご利用の場合は下記KROWN文書を
ご覧下さい。

  KROWN文書番号57542
    KROWN#57339の回避策による、データベースおよびクライアント製品への影響 

=====================================================================
[事象3]
OC4J の WEB-INF フォルダのコンテンツが参照できる場合がある問題


[対象リリース]

Oracle9i Application Server リリース 1.0.2.2
Oracle9i Application Server リリース 9.0.2
Oracle9i Application Server リリース 9.0.3 (Windowsプラットフォームのみ)


[対象プラットフォーム]

全てのプラットフォーム
 Solaris Operating System 
 HP 9000 Series HP-UX 
 AIX Based Systems 
 HP Tru64 UNIX 
 MS Windows 
 Linux Intel 


[修正リリース]

 (Unix及びLinuxプラットフォーム)
 問題を修正したリリース  : Oracle9i Application Server リリース 9.0.3.0.0
 問題を修正したPSR     : なし

 (Windowsプラットフォーム)
 問題を修正したリリース  : Oracle Application Server 10g(9.0.4)
 問題を修正したPSR     : なし

[回避策]

Oracle9i Application Server プラットフォーム共通 リリースノート 
リリース2 (9.0.2)  ページ 1-14 「OJSP によって使用されるメタデータ・
ディレクトリの保護」に従って設定を追加して下さい。

「OJSP によって使用されるメタデータ・ディレクトリの保護」
OJSP によって使用されるメタデータ・ディレクトリを保護する為には、次の手順
を実行してください。

  1. httpd.conf ファイルに次の行を追加します。

         <DirectoryMatch /WEB-INF/>

         Order deny,allow
         Deny from all
         </DirectoryMatch>
  (*注  
   MS Windows版の 9.0.2.0.1, 9.0.3 にはすでにこの設定は含まれていますので
   今回の[回避策]1.の適用は必要ありません。

  2. ojsp.conf ファイルの次の行を変更します。

 (Unixプラットフォーム)
   変更前:
         <Location /_pages/>
         Order deny,allow
         Deny from all
         </Location>

   変更後:
         <DirectoryMatch /_pages/>

         Order deny,allow
         Deny from all
         </DirectoryMatch>

 (Windows)
   変更前:
         <DirectoryMatch \_pages\>
         Order deny,allow
         Deny from all
         </DirectoryMatch>
   変更後:
         <DirectoryMatch /_pages/>
         Order deny,allow
         Deny from all
         </DirectoryMatch>


[パッチ情報]

本問題に対しての個別パッチはありません。


=====================================================================

E-Business Suite 11i をご使用のお客様へ

 (*注  EBS11iをご使用のお客様は本KROWNの[事象2]のみ対象となりますので
回避策の実行後に下記のロールアップパッチを適用下さい。)

Oracle E-Business Suite 11i は Oracle9i Application Server Release 1
(バージョン1.0 と バージョン 1.0.2.2) の一部として構成されるいくつかの
コンポーネントを使用します。
Oracle E-Business Suite 11i をご使用のお客様は Oracle9iAS 1.0.2.2 に関する
セキュリティ・アラートの影響がある可能性があります。もし Oracle E-Business
Suite 11i をご使用の場合には 以下の題名の文書に記述されている Oracle9i
Application Server Release 1, バージョン 1.0.2.2 と Oracle E-Business
Suite 11i の最新のロールアップ・パッチが適用されているかを確認してください。
“Installing Oracle9i Application Server with Oracle E-Business Suite 11i”
(Metalink Note 146468.1)

このロールアップパッチは Metalink Note 146468.1のSection 1の 
Components Installedの下に記述されている HTTP Server patch の事を指しております。
2003年7月28日現在ではパッチ#2674529 
「ROLLUP PATCH FOR IAS1022 & E-BUSINESS SUITE 11i (ROLLUP 3)」になります。


[謝辞]
オラクル社はこの脆弱性に関する情報を提供していただきました Westpoint Ltd.
の Matt Moore 様に深く感謝をいたします。


[更新履歴]
2008/04/23 変更されたURL情報を削除
2004/12/09 9.0.4 にて対応予定 の対応予定を削除
2004/12/09 [事象3] [対象リリース] に Windows版 9.0.3を追加
           - 設定ファイルの修正が一部不十分だったことが Bug:3396612 にて報告された為
2004/12/09 [事象3] 「問題を修正したPSR」 を"なし"に変更
           - コードの修正だけではなく設定ファイルの修正も必要なことが判明した為
2004/03/09 [事象3]のWindows版修正リリースに「回避策2」のみ10g(9.0.4)を表記  
2004/01/22 [事象3]の回避策2にWindows版の回避策を追加  
2003/07/29  EBS11iは[事象2]のみ対象を追加
2003/07/28 「E-Business Suite 11i をご使用のお客様へ」を追加
2002/12/24 本KROWN作成