文書番号 68458 最終更新日 2004-04-08 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition (9.2.0.2 - 9.2.0.3) [Oracle XML DB]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 68525   57881   64453  
概要 #58: Oracle9i Database Server XML Database の潜在的なセキュリティの脆弱性
内容:
[問題]
潜在的なセキュリティの脆弱性が、Oracle9i Database Release 2 (9iR2) の 
XML Database (XML DB) 機能にて確認されました。知識をもった悪意のあるユーザー
により、このXML DB機能に潜むバッファオーバーフローの脆弱性を利用され、サービス
拒否攻撃 (Denial of Service (DOS) attack) や、Oracle9i Database Server
に接続しているアクティブなユーザセッションが掌握される可能性があります。


[対象リリース]
- Oracle9i Database Release2

[修正リリース]
- Oracle Database 10g (10.1.0)

[修正したPSR]
- Oracle9i Database Release2 9.2.0.4

[対象プラットフォーム]
全てのプラットフォーム


[発生条件]
悪意のあるユーザーが本現象を引き起こすためには、以下のいずれかの条件を
満たす必要があります。
- データベースにログイン可能なユーザが存在する
- XML Database (XML DB) 機能にて FTPおよびHTTPサーバが有効となっている


[回避策]
本現象を完全に防ぐことのできる回避策はありません。ただし、XML Database の
FTP/HTTPサーバを無効化することにより、脆弱性を利用されるリスクを抑えること
が可能となります。FTP/HTTPなどのプロトコルを用いて Oracle XML DB Repository
へのアクセスを行っていない場合、以下の手順でFTP/HTTPサーバを無効化することが
できます。

  注意: DBCA(Database Configuration Assistant)でデータベース作成時に
        「標準データベース・オプション」にて「Oracle XML DB」オプションが
        選択されている場合、デフォルトでFTP/HTTP両サービスともに有効と
        なっています。また、FTP/HTTPの各サービスを個別に無効化することは
        できません。

  1. Oracle9i Database Server の 初期化パラメータファイルに
     記述されている "dispatchers" パラメータの行より、
     "(SERVICE=<sid-name>XDB)" を含む行を削除します。
     ここで、<sid-name> はご利用のデータベースのSID名を表します。

  2. データベースを再起動します。


[パッチ情報]
個別パッチを適用することにより、この脆弱性は修正され、XML Database
機能はより堅牢なものとなります。個別パッチは 9.2.0.3 対してのみ作成
されます。また、同修正は PSR 9.2.0.4 にも含まれています。

リリース 9.0.1.x, 8.1.7.x, 8.1.6.x, 8.1.5.x, 8.0.5.x, 7.3.x では
この脆弱性は存在しないため、これらリリースに対するパッチの作成予定は
ありません。

パッチを公開し次第、本KROWN上で案内します。パッチの公開状況に関し
ましては、常に本KROWNが最新の情報になります。

プラットフォーム     リリース    提供状況
-------------------  --------    ----------------------------------------------------
SPARC Solaris 32Bit  9.2.0.3     提供可能 (p3058991_9203_SOLARIS.zip   1,639,485byte)
SPARC Solaris 64Bit  9.2.0.3     提供可能 (p3058991_9203_SOLARIS64.zip 2,227,414byte) 
HP-UX 64Bit          9.2.0.3     提供可能 (p3058991_9203_HP64.zip      2,206,806byte)
HP Tru64 UNIX        9.2.0.3     提供可能 (p3058991_9203_TRU64.zip     2,114,364byte)
AIX 64Bit            9.2.0.3     提供可能 (p3058991_9203_AIX64.zip     1,864,410byte)
AIX 64Bit 5L         9.2.0.3     提供可能 (p3058991_9203_AIX64-5L.zip  1,864,421byte)
Linux                9.2.0.3     提供可能 (p3058991_9203_LINUX.zip     1,513,670byte)
Windows              9.2.0.3     準備中
Alpha OpenVMS        9.2.0.3     提供可能 (p3058991_9203_AXP.zip       2,764,818byte)


[よくある質問とその回答]
Q1. 回避策でポートを無効にした場合、XML DBの機能はすべて使えなくなるので
    しょうか?
A1. いいえ。影響を受けるのは、Oracle XML DB Repositoryへの HTTP/WebDAV/FTP
    プロトコル経由のアクセスです。PL/SQLやSQL文でのアクセスは可能です。

[謝辞]
オラクル社はこの脆弱性に関する情報を提供して頂きました
Next Generation Security Software 社の David Litchfield 氏に深く
感謝いたします。


[参照情報]
KRONW:68525 Oracle XML DB Repositoryで使用する HTTP/WebDAV/FTPポートについて

KROWN:64453 [XML DB] Oracle XML DB 機能概要
KROWN:57881 Oracle XML DB のサポートについて

[更新履歴]
2004/04/08  問題を修正したリリース ・ 問題を修正予定のリリースを変更
2003/08/26  個別パッチにAIX64, VMS を追加
2003/08/22  公開区分を変更
2003/08/21  個別パッチ情報を更新
2003/08/21  公開区分を変更
2003/08/20  [よくある質問とその回答]および[参照情報]を追加
2003/08/20  公開区分を変更
2003/08/19  本文書を作成