文書番号 58922 最終更新日 2004-05-08 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition ( - 9.2.0.2) [その他のデータベース管理]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 59702   58919  
概要 #51: ORACLE実行モジュールの潜在的なセキュリティの脆弱性
内容:
[問題]
Oracle実行モジュールに潜在的なセキュリティに関する脆弱性が確認されました。
悪意のあるユーザーがサーバーに送信するデータの大きさに対して適切な上限を
設けていないクライアントアプリケーションを使用してOracleに接続および処理
を行った場合、Oracleが管理する内部バッファ領域を越えて不正なメモリアクセ
スを発生させることがあります。この問題が悪用されることにより、任意のコードを
実行される危険があります。


[対象リリース]
問題が発生するリリース  : 8.0.x, 8.1.x, 9.0.1.x, 9.2.0.x
問題を修正したリリース  : Oracle Database 10g (10.1.0)
問題を修正予定のリリース : 無し
問題を修正したPSR     : 9.2.0.3
問題を修正予定のPSR   : 無し


[対象プラットフォーム] 
全てのプラットフォーム


[回避策]
通常に作成されたクライアント・アプリケーション・プログラムによって
本問題が発生することはありません。但し、任意のユーザーが作成した
クライアント・アプリケーション・プログラムがOracleへ自由に接続できるような
環境下にてOracleを運用されている場合は、パッチの適用をお願いします。


[パッチ情報]
フルサポート中のバージョンの現行PSRに対して作成中です。
本問題に対するパッチは公開中のKROWN:58919のパッチに含まれております。
パッチ情報についてはKROWN:58919をご参照ください。


[よくある質問と回答]
Q1. 本現象を発生させる具体的な方法について教えて下さい。
A1. セキュリティに関する情報のため、公開は控えさせて頂いております。

Q2. Oracle9iAS に付属のデータベースに対してはどのように対処すればいいのでしょうか。
A2. 以下のKROWNを参照して対応して下さい。

KROWN#59702 
[9iAS 9.0.2] infrastructure に付属のデータベースと Security Alert#48, #49, #50, #51 について


[謝辞]
オラクル社はこの脆弱性に関する情報を提供して頂きました
NEXT GENERATION SECURITY SOFTWARE 社の MARK LITCHFIELD 氏に深く感謝いたします。


[参照情報]
KROWN:58919  #48: BFILENAME関数の潜在的なセキュリティの脆弱性


[更新履歴]
2004/05/08 問題を修正したリリース ・ 問題を修正予定のリリースを変更
2003/04/10 「問題を修正したPSR」に9.2.0.3を追加しました
2003/02/26 [よくある質問と回答] Q2/A2 を追加
2003/02/13 Krown登録