文書番号 67046 最終更新日 2004-04-26 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] OracleAS Portal ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 #61: Oracle9i Application Server におけるSQLインジェクション脆弱性
内容:
[深刻度]
1

* 米国側PDF資料における深刻度表示について
    http://otn.oracle.co.jp/security/severity/index.html


[問題]
Oracle9i Application Server のコンポーネントである Oracle9iAS Portal に
おいて潜在的な脆弱性が発見されました。

悪意を持った知識のある未認証ユーザが、Oracle9iAS PortalへのURLにSQL文を
挿入(インジェクション)することが可能です。この問題を利用して、悪意のある
ユーザは、URL経由で Oracle9i Application Server 上のユーザ・データへの
不正アクセスを試みる可能性があります。


[対象リリース]
問題が発生するリリース  :Oracle9iAS Portal 9.0.2.3.0 (およびそれ以前のリリース)
                          Oracle9iAS Portal 3.0.9.8.5 (およびそれ以前のリリース)
問題を修正したリリース  :なし
問題を修正予定のリリース:OracleAS Portal 9.0.4
問題を修正したPSR       :なし
問題を修正予定のPSR     :なし


[対象プラットフォーム]
すべてのプラットフォーム


[起こりうる条件]
悪意のあるユーザがこの脆弱性を利用するためには、以下の条件を満たす必要が
あります。

 - Oracle9iAS Portalに対してHTTPアクセスが可能であること。
   このとき、認証は必要ではありません。

* Oracle9i Application Server Release2(9.0.2) のインストール・タイプが
  Portal & Wireless または BI & Forms の場合、初期インストールで
  Oracle9iAS Portal がインストールされ、利用可能な状態に構成されます。


[原因]
以下のコンポーネントに潜在的な脆弱性が含まれていました。

  - 値リスト (List of Values - LOV)
  - Portal DB プロバイダ: フォーム
  - Portal DB プロバイダ: 階層 (Hierarchy)
  - Portal DB プロバイダ: XMLコンポーネント


この脆弱性を利用することで、未認証ユーザが Oracle9i Application Server
データ・ディクショナリ表に対する権限のないSQL問合せを実行することが可能
です。また、Oracle9i Application Server のパフォーマンスに影響を与え得る
ような非常にコストの高い(時間のかかる)問合せを送信することが可能です。

この問題の修正は、Portal 9.0.4 に含められます。


[回避策]
回避策はありません。
問題を修正するためにはパッチを適用する必要があります。

この問題による危険性を回避するためには、前述の脆弱なコンポーネントに対す
るPUBLICアクセスを無効にすることだけでは不十分です。

Oracle社はこのアラートに対するパッチを適用することを強く推奨します。


[パッチ情報]
この問題に対処するための個別パッチは、以下の Oracle9iAS Portalバージョン
に対して提供されています。:

  - Oracle9iAS Portal 9.0.2.3.0 (9.0.2.3.0A/9.0.2.3.0B)
  - Oracle9iAS Portal 3.0.9.8.5
  - Oracle E-Business Suite Release 11i にインストールされている Oracle9iAS Portal 3.0.9.8.4

提供されるパッチは以下のサイトよりダウンロードを行ってください。

  http://otn.oracle.co.jp/
    > セキュリティ・アラート
       > Oracle9i Application Server におけるSQLインジェクション脆弱性
          > [対応策]


* Oracle E-Business Suite Release 11i (以下 Release 11i)をご利用のお客様
  は、現在ご利用の環境に Portal 3.0.9.8.5 および Portal 3.0.9.8.5 用の
  個別パッチを適用することは出来ません。

  ----------------------------------------------------------------------
  - Release 11i をご利用のお客様で、Portal 3.0.9.8.4 をご利用の場合:

    Portal 3.0.9.8.4 をご利用の Release 11i に対するパッチ Patch 3237913
    が提供可能です。Patch 3237913 をダウンロードして適用してください。

  - Release 11i をご利用のお客様で、Portal 3.0.9.8.4 より前のリリースの
    Portalをご利用の場合:

    Portal 3.0.9.8.4 より前のリリースのPortal(Portal 3.0.9.8.2 等)を稼動
    させている Release 11i 環境は、Patch 3237913 を適用する前に、Portal
    3.0.9.8.4 に更新する必要があります。

  - 11.5.7 以上の Release 11i(11.5.7, 11.5.8, 11.5.9)の Rapid Install で
    構築された環境をご利用のお客様で、Portalをご利用ではない場合:

    Rapid Install の一部として Portal 3.0.9 スキーマが構築されます。この
    Portalスキーマは本文書記載の脆弱性の影響を受ける可能性があります。

    以下のドキュメント記載の手順に従って、Portalスキーマを削除(アンインストール)
    することを推奨します。

      J04753-01 Oracle Portal 構成ガイド リリース 3.0.9
        2.7.1 単一のOracle Portal スキーマまたはLogin Server の削除

    このドキュメントは、Oracle Technology Network Japan (OTN Japan)より
    参照可能です。

      J04753-01.pdf

  - 11.5.1 から 11.5.5 までの Release 11i の Rapid Install で構築された
    環境をご利用のお客様で、Portalをご利用ではない場合:

    このリリースの Rapid Install では、Portal 3.0.9 スキーマは作成され
    ません。よって、本問題の対応は必要ありません。
  ----------------------------------------------------------------------


* 9.0.2.3.0 に続く A や B の接尾辞は、Oracle9iAS Portal 9.0.2.3.0 が
  バンドルされるOracle9iAS パッチセットを識別するために使用されてます。
  接尾辞の違いがあっても、Portal 9.0.2.3.0 の機能に違いはありません。

  
* この個別パッチを適用するためには、事前に Portal 9.0.2.3.0 あるいは
  Portal 3.0.9.8.5 に更新済みである必要があります。

  Oracle9i Application Server Release2 をご利用の場合は、
  Oracle9iAS Portal 9.0.2.3.0 に更新する必要があります。

  Oracle9i Application Server Release1 をご利用の場合は、
  Oracle9iAS Portal 3.0.9.8.5 に更新する必要があります。


* Oracle9iAS Core Patch Set 9.0.2.1 および Oracle9iAS Bundled Patch Set 
  9.0.2.1 には Oracle9iAS Portal に対するパッチは含まれていません。

  Oracle9iAS Patch Set 9.0.2.3 あるいは、Oracle9iAS Bundled Patch Set
  9.0.2.2 を適用することで、Oracle9iAS Portal 9.0.2.3.0A/9.0.2.3.0B に
  更新をしてから、この問題に対処するための個別パッチを適用してください。

  米国で提供されている本アラートの原文の Patch Availability Matrix に
  記載されている iAS Version 9.0.2.1 に対する Portal Version 9.0.2.3 は
  日本では特定顧客にのみ提供されている個別パッチです。


[リスクを最小限に抑えるためには] 
パッチ適用後、以下のホワイトペーパも併せてご覧下さい。
また、ファイアウォール等の設置についてもご検討ください。

(日本語訳)
  http://otndnld.oracle.co.jp/idba/security/oracle9ir2/pdf/9ir2_checklist_new.pdf
  http://otndnld.oracle.co.jp/deploy/security/pdf/9i_checklist_fixed.pdf
  http://otn.oracle.co.jp/idba/security/9ias/

(原文)
  http://otn.oracle.com/deploy/security/oracle9i/pdf/9ir2_checklist.pdf
  http://otn.oracle.com/deploy/security/oracle9i/pdf/9i_checklist.pdf
  http://otn.oracle.com/deploy/security/oracle9iAS/


[よくある質問とその回答]
  Q. 本現象を発生させる具体的な方法について教えて下さい。
  A. セキュリティに関する情報のため、公開は控えさせて頂いております。

  Q. 米国で提供されている本アラートの原文に記載されている Portal 9.0.2.6
     とは何ですか。
  A. Portal 9.0.2.6 は米国において限定的に提供されているベータ・リリース
     です。Portal 9.0.2.6 で開発中の機能は Portal 9.0.4 として製品化され
     Oracle Application Server 10g (9.0.4)と共に出荷されています。

  Q. Oracle9iAS Portalのバージョンの確認方法について教えてください。
  A. Oracle9iAS Portalのバージョンは以下のようにして確認できます。

     1. 管理者ユーザとして、Oracle9iAS Portal にログインします。

     2. 以下のようにページを遷移します。

        Oracle9iAS Portal 3.0 をご利用の場合:
          管理 > グローバル設定

        Oracle9iAS Portal 9.0.2 をご利用の場合:
          ビルダー > 管理 > グローバル設定

     3. 遷移後のページ下部に「バージョン情報」の表記があります。

        表示例)
          バージョン情報 
          Oracle Portal バージョン: 9.0.2.3.0B

  Q. Portalスキーマを削除済みの Oracle E-Business Suite Release 11i 環境
     を Rapid Clone した場合、Portalスキーマは再作成されますか。
  A. いいえ。Rapid Clone によるコピーではPortalスキーマの再作成を行われ
     ません。Source System(Rapid Clone のコピー元環境)でPortalスキーマが
     削除済みの場合、Target System(Rapid Cloneのコピー先の環境)には
     Portalスキーマは存在しません。Rapid Cloneによるコピーの後で、別途、
     Portalをインストールしない限り、本文書記載の問題に対する追加の対処
     は必要ありません。


[謝辞]
Oracle社はこの潜在的なセキュリティ脆弱性に関する情報を提供して頂きました
Next Generation Security Software Ltd.社の David Litchfield 氏に深く感謝
致します。

Next Generation Security Software Advisory は以下にあります。
  http://www.nextgenss.com/advisories.html


[更新履歴]
2004/04/26 文書管理情報を更新しました。
2004/04/06 9.0.4 出荷に伴い、よくある質問とその回答 中の 9.0.4 に対する
           表現を更新
2003/11/17 EBS 11i環境のPortal 3.0.9.8.4に対するパッチについて更新
2003/11/12 マニュアルの章をより明確な場所を指すよう 2.7 から 2.7.1 に更新
2003/11/12 Q & A に Portalスキーマ削除後の EBS Rapid Clone について、追記
2003/11/10 EBS 11iをご利用のお客様の場合のセクションを追加
2003/11/06 バージョンの確認方法について追記
2003/11/06 9.0.2.1 に対する記述を追記
2003/11/05 本文書作成@SNL_DATE=0312