文書番号 58923 最終更新日 2003-09-04 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (9.0.2 - 9.0.2) [Apache Web Server]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 #52: Oracle9i Application Server の2つのセキュリティの脆弱性の問題
内容: 
[概要]
#52: Oracle9i Application Server の2つのセキュリティの脆弱性の問題

本 KROWN では以下の2つの Oracle9i Application Server に
おけるセキュリティの脆弱性の問題について記述しています。

[事象1] DAV_PUBLIC ディレクトリについて
[事象2] MOD_ORADAV モジュールについて


=====================================================================
[事象1] DAV_PUBLIC ディレクトリについて

潜在的なセキュリティ上の脆弱性が Oracle9i Application Server に発見されました。
知識と悪意のあるユーザが公開されているディレクトリ URL: http://host:port/dav_public 
を使用することによってサービスの妨害(DoS)を引き起こす可能性があります。


[対象リリース]

Oracle9i Application Server リリース 9.0.2


[対象プラットフォーム]

全てのプラットフォーム
 Solaris Operating System 
 HP 9000 Series HP-UX 
 AIX Based Systems 
 HP Tru64 UNIX 
 MS Windows 
 Linux Intel 


[修正リリース]

Oracle9i Application Server リリース 9.0.3


[回避策] 
この脆弱性を避けるために以下の回避策を実施することを強くお薦めします。

1. OEM WebSite を使用しての編集

  http://host.domain:1810 にアクセスをし、各インスタンスの システム・
  コンポーネント: 「HTTP Server」をクリックします。
  この画面の下部の 管理:「Advanced Server Properties」をクリックすると
  設定ファイルの一覧画面になります。その中から 「moddav.conf」をクリック
  し、編集画面から以下の編集を行います。

【変更前】
   DAV on

【変更後】
   DAV off

 編集後「適用」ボタンを押して設定を反映させて 「HTTP Server」を再起動させて下さい。


2. ファイルを直接編集

$ORACLE_HOME/Apache/oradav/conf ディレクトリ(Windows の場合:%ORACLE_HOME%\
Apache\oradav\conf) にある moddav.conf を以下のように編集します。

【変更前】
   DAV on

【変更後】
   DAV off

ファイルの編集後以下のコマンドを実行して設定を反映させて下さい。
コマンドを実行する前に OEM WebSite の停止をして下さい。

  $ORACLE_HOME/dcm/bin/dcmctl updateConfig -ct ohs -v
  $ORACLE_HOME/dcm/bin/dcmctl restart -ct ohs -v

変更後のファイルは以下のようになります。コメントの部分(#で始まる行)が
一行に表示される場合がありますが問題はありません。
----------------------------------------------------------------------
Load/Module ORACLE_HOME/Apache/oradav/lib/mod_oradav.so

#This is needed by mod_oradav to manage locks on WebDAV activity
#against a local file system and contains lock information about all
#WebDAV file resources.

DAVLockDB ORACLE_HOME/Apache/oradav/var/DAVLock

<Location/dav_public>
DAV off

#For extra security, enable the ForceType directive below.
#ForceType is used to prevent any scripts (jsp,php,...)
#from being run.  Since this is a public location and anyone
#could upload a script and then execute it we need to be
#careful - we don't want it exploited.  To preserve
#mime types of files but to still protect against executables
#see HTTP Admin Documentation on mod_oradav regarding ORAGetSource.
#
#ForceType text/plain

</Location>

----------------------------------------------------------------------

[パッチ情報]
上記の潜在的なセキュリティ上の脆弱性は Oracle9i Application Server
リリース 9.0.3 にて修正されています。リリース 9.0.3 より前の リリース
をご使用の場合で回避策の実施ができない場合には リリース 9.0.3 に
アップグレードを行って下さい。


[謝辞]
オラクル社はこの脆弱性に関する情報を提供していただきました Next Generation 
Security Software Ltd. 社の David Litchfield 様に深く感謝をいたします。


=====================================================================
[事象2] MOD_ORADAV モジュールについて

潜在的なセキュリティ上の脆弱性が Oracle9i Application Server に発見されました。
知識と悪意のあるユーザーが公開された URLである 1) http://host:port/dav_public と
2) http://host:port/dav_portal に対してアクセスし、またMOD_ORADAV モジュールを攻撃
をすることによって、結果として外部からのサービスの停止(DoS)を引き起こす可能性が
あります。


[対象リリース]

Oracle9i Application Server リリース 9.0.2
Oracle9i Application Server リリース 9.0.3


[対象プラットフォーム]

全てのプラットフォーム
 Solaris Operating System 
 HP 9000 Series HP-UX 
 AIX Based Systems 
 HP Tru64 UNIX 
 MS Windows 
 Linux Intel 


[修正リリース]

Oracle9i Application Server リリース 9.0.2 と 9.0.3 に対して個別パッチ
が作成されます。

[回避策] 
WebDAV, OraDAV機能を使用しない場合には以下の設定ファイルの中で 事象1の[回避策]
同様にすべての 「DAV」 パラメータを 「off」に設定することによって本問題を
回避することが可能です。

  $ORACLE_HOME/Apache/oradav/conf/moddav.conf 
  $ORACLE_HOME/Apache/oradav/conf/oradav.conf 


[パッチ情報]
現時点では Oracle9i Application Server リリース 9.0.2 と 9.0.3 に対して
個別パッチを作成中です。公開され次第 本KROWN上で案内をいたします。
パッチの公開状況に関しましては常に 本KROWNが最新の情報になります。

本個別パッチは適用されている 9iAS パッチ・セット に関係なく適用が可能です。

 ● パッチの公開状況 (2003年4月4日現在)

 《Oracle9iAS  リリース 9.0.3 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2602262_903_SOLARIS.zip  
       ・Windows NT/2000    ○ パッチ公開中   p2602262_903_MSWIN.zip 
       ・HP-UX              × パッチ作成中
       ・AIX                × パッチ作成中
       ・HP Tru64 UNIX      × パッチ作成中 
       ・Linux              × パッチ作成中


 《Oracle9iAS  リリース 9.0.2 用》

       プラットフォーム      公開状況          パッチファイル名
       -----------------    ---------------  --------------------------
       ・Solaris            ○ パッチ公開中   p2602262_902_SOLARIS.zip  
       ・Windows NT/2000    ○ パッチ公開中   p2602262_902_MSWIN.zip 
       ・HP-UX              ○ パッチ公開中   p2602262_9021_HPUX11.zip
       ・AIX(4.3.3, 5L共通) ○ パッチ公開中   p2602262_9021_AIX.zip 
       ・HP Tru64 UNIX      ○ パッチ公開中   p2602262_902_TRU64.zip 
       ・Linux              ○ パッチ公開中   p2602262_9021_LINUX.zip 



    ◆公開済みのパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> Oracle9i Application Server の2つのセキュリティの脆弱性の問題(2003/2/19公開)
        -->  [対応策]  


[謝辞]
オラクル社はこの脆弱性に関する情報を提供していただきました Next Generation 
Security Software Ltd. 社の David Litchfield 様 と Mark Litchfield 様に深く
感謝をいたします。


[よくある質問と回答]
 Q1. 本現象を発生させる具体的な方法について教えて下さい。
 A1. セキュリティに関する情報のため、公開は控えさせて頂いております。

 Q2. 本現象は iFS にも関係ありますでしょうか?
 A2. iFS自身は mod_oradav を使用していないために関係ありません。

 Q3. 本現象は 9iAS 1.0.2.0/1.0.2.1/1.0.2.2 また、データベースに付属の
     Oracle HTTP Server(OHS) では発生しないのでしょうか?
 A3. mod_oradav は 9iAS 9.0.2/9.0.3 で付属されているものですので、それ以外の
     OHS には影響がありません。

[更新履歴]
2003/09/04 AIXに 5Lについてを追記
2003/04/04 パッチ情報の更新(HP,AIX:902)
2003/03/25 パッチ情報の更新(Tru,Lnx:902)
2003/02/20 パッチ情報の更新(Sol:903)
2003/02/20 [よくある質問と回答]にQ3/A3 を追加
2003/02/20 事象2 の[回避策]を追加
2003/02/19 パッチ情報の更新
2003/02/17 [よくある質問と回答]にQ2/A2 を追加
2003/02/14 一部文章の修正
2003/02/13 本KROWN作成