文書番号 70482 最終更新日 2005-01-25 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle HTTP Server (1.0.2.2 - 9.0.3) [SSL Module]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 #62: CERT CA-2003-26 及び以前の SSL問題に対する SSLの更新
内容:
#62: CERT CA-2003-26 及び以前の SSL問題に対する SSLの更新

[深刻度]  1

* 米国側PDF資料における深刻度表示について
    http://otn.oracle.co.jp/security/severity/index.html

[問題]
この文章は CERT Advisory CA-2003-26 と、今までに公開されているいくつかの 
Common Vulnerabilities and Exposures (CVE) candidates (CAN-200N-NNNN)に
ついて記述をしています。

・CERT CA-2003-26 では特殊な形で作成された X.509 の証明書が、クライアントから
  送られたときに任意のコードを実行される可能性がある SSL脆弱性について報告さ
  れています。
  これは X.509 クライアント証明書の要求の設定が有効でない場合でも同様です。
  こちらの問題についての CVE番号は CAN-2003-0544 と CAN-2003-0545 です。

・CERT CA-2003-26 ではまた X.509 クライアント証明書の要求の設定が有効な場合に
  のみ発生する脆弱性についても報告されています。この問題についてのCVE番号は 
  CAN-2003-0543 です。
  この脆弱性は SSLを使用してクライアント証明書を受け付けるすべての Oracle9i 
  Application Server, Oracle9i Database Server, Oracle8i Database Server の
  製品に影響があります。

・今回この問題に対して提供されるパッチには以下の以前の CVEの問題に対する修正も
  含まれています。これらについての詳細は [参考情報] のリンクを参照して下さい。

   CVE-2002-0082, CAN-2003-0078, CAN-2003-0147, CAN-2003-0131



[影響のある製品/リリース]
  ・Oracle9i Database Server リリース 2, バージョン 9.2.0 
  ・Oracle9i Database Server リリース 1, バージョン 9.0.1 
  ・Oracle8i Database Server リリース 3, バージョン 8.1.7 
  ・Oracle9i Application Server リリース 2, バージョン 9.0.3 
  ・Oracle9i Application Server リリース 2, バージョン 9.0.2 

  ・Oracle9i Application Server リリース 1, バージョン 1.0.2.2 
  ・Oracle9i Application Server リリース 1, バージョン 1.0.2.1s (注1)
  ・Oracle HTTP Server バージョン 9.2.0 
  ・Oracle HTTP Server バージョン 9.0.1 
  ・Oracle HTTP Server バージョン 8.1.7 

   注1: このバージョンは Oracle E-Business Suite Release 11i (R11.5.1 -
   R11.5.5 の Rapid Installをインストール後、Note:161779.1を元にiASを
   アップグレードを実施したお客様用のバージョンになります。

   Oracle E-Business Suite Release 11i をご使用のお客様は下記の
   [Oracle E-Business Suite Release 11i をご使用のお客様]を参照して下さい。

[対象プラットフォーム]
すべてのプラットフォーム


[問題の発生する条件]
影響のある製品/リリースにおいてSSLを使用している場合に問題が存在します。
脆弱性のうちのいくつかはクライアント証明書の設定の有無に関係なく発生します。

- OpenSSLに関する発生条件
  - OracleHTTPServerにてSSLの設定を有効にしている場合

- Oracle SSLに関する発生条件
  以下の3つの条件をすべて満たす場合に問題が発生する可能性があります。
  - Oracle Advanced Securityをインストール及び使用している場合
  - Oracle Advanced Security にてSSLを使用している場合
  - 悪意のあるユーザーがTNSリスナーへ接続できる場合
  

[リスクを最小限に抑えるためには] 
パッチ適用後、以下のホワイトペーパも併せてご覧下さい。
また、ファイアウォール等の設置についてもご検討ください。

(日本語訳)
  http://otndnld.oracle.co.jp/products/app_server/9ias/pdf/security_best_practices.pdf
  http://otn.oracle.co.jp/idba/security/9ias/
  http://otndnld.oracle.co.jp/idba/security/oracle9ir2/pdf/9ir2_checklist_new.pdf
  http://otndnld.oracle.co.jp/deploy/security/pdf/9i_checklist_fixed.pdf

(原文)
  http://otn.oracle.com/products/ias/pdf/best_practices/security_best_practices.pdf
  http://otn.oracle.com/deploy/security/oracle9ias/pdf/securingias.pdf
  http://otn.oracle.com/deploy/security/oracle9i/pdf/9ir2_checklist.pdf
  http://otn.oracle.com/deploy/security/oracle9i/pdf/9i_checklist.pdf 

[回避策]
回避策はありません。パッチを適用して下さい。


[パッチ情報]
現時点での個別パッチの作成状況を以下に記載します。
パッチの作成状況が変更次第、本文書上で案内します。パッチの公開状況に関し
ましては、常に本文書が最新の情報になります。

今回のセキュリティ・アラートでは以下の2種類のパッチが提供されます。
・OpenSSLに関する修正
   Oracle HTTP Server(Apache) に関するパッチになります。mod_sslが含まれます。
   このパッチはデータベースのパッチセットのバージョンに関係なく適用可能です。
・Oracle SSLに関する修正
   Oracle データベース と Oracle9iAS 902/903 に対して提供されます。
   このパッチはデータベースのパッチセットのバージョンにあわせて適用して下さい。
   Oracle9iAS 902/903 に関してはパッチセットのバージョンに関係無く適用可能です。
   
   注意:データベースをご使用のお客様は上記2種類のパッチが両方必要になる場合
         がありますのでご注意下さい( 後述の FAQ も参照願います )。


● OpenSSLに関する修正

プラットフォーム     リリース    提供状況
-------------------  --------    ------------------------------------------------------
Sun Solaris 32bit     1.0.2.2    提供可能  (p3169446_1022_SOLARIS.zip  1,049,666 bytes)
IBM AIX (433/5L)32bit 1.0.2.2    提供可能  (p3169446_1022_AIX.zip      1,204,280 bytes)
MS Windows NT/2000/XP 1.0.2.2    提供可能  (p3169446_1022_WINNT.zip      647,586 bytes)
HP-UX PA-RISC 32-bit  1.0.2.2    提供可能  (p3169446_1022_HPUX11.zip   1,431,631 bytes)
HP Tru64 UNIX         1.0.2.2    提供可能  (p3169446_1022_TRU64.zip    1,320,051 bytes)
LINUX x86             1.0.2.2    提供可能  (p3169446_1022_LINUX.zip      891,712 bytes)

プラットフォーム     リリース    提供状況
-------------------  --------    ------------------------------------------------------
Sun Solaris 32bit     9.2.0      提供可能  (p3169446_9200_SOLARIS.zip  1,209,137 bytes)
IBM AIX 433 32bit     9.2.0      提供可能  (p3169446_9200_AIX.zip      1,280,092 bytes)
IBM AIX 5L            9.2.0      提供可能  (p3169446_9201_AIX64-5L.zip 1,280,092 bytes) 
MS Windows NT/2000/XP 9.2.0      提供可能  (p3169446_9200_WINNT.zip      698,606 bytes)
HP-UX PA-RISC 64bit   9.2.0      提供可能  (p3169446_9200_HP64.zip     1,661,386 bytes)
HP Tru64 UNIX         9.2.0      提供可能  (p3169446_9200_TRU64.zip    1,399,167 bytes)
LINUX x86             9.2.0      提供可能  (p3169446_9200_LINUX.zip    1,032,783 bytes)

プラットフォーム     リリース    提供状況
-------------------  --------    ------------------------------------------------------
Sun Solaris 32bit     9.0.1      提供可能  (p3169446_9010_SOLARIS.zip  1,085,551 bytes)
IBM AIX (433/5L)32bit 9.0.1      提供可能  (p3169446_9010_AIX.zip      1,226,722 bytes)
MS Windows NT/2000/XP 9.0.1      提供可能  (p3169446_9010_WINNT.zip      650,647 bytes)
HP-UX PA-RISC 32-bit  9.0.1      提供可能  (p3169446_9010_HPUX11.zip   1,507,563 bytes)
HP Tru64 UNIX         9.0.1      提供可能  (p3169446_9010_TRU64.zip    1,362,176 bytes)
LINUX x86             9.0.1      提供可能  (p3169446_9010_LINUX.zip      980,155 bytes)

プラットフォーム     リリース    提供状況
-------------------  --------    ------------------------------------------------------
Sun Solaris 32bit     8.1.7      提供可能  (p3169446_8170_SOLARIS.zip  1,085,552 bytes)
IBM AIX (433/5L)32bit 8.1.7      提供可能  (p3169446_8170_AIX.zip      1,177,638 bytes)
MS Windows NT/2000/XP 8.1.7      提供可能  (p3169446_8170_WINNT.zip      650,647 bytes)
HP-UX PA-RISC 32-bit  8.1.7      提供可能  (p3169446_8170_HPUX11.zip   1,601,421 bytes)
HP Tru64 UNIX         8.1.7      提供可能  (p3169446_8170_TRU64.zip 1,362,240bytes)    
LINUX x86             8.1.7      提供可能  (p3169446_8170_LINUX.zip      980,155 bytes)

    ◆提供可能なパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> CERT CA-2003-26 及び以前の SSL問題に対する SSLの更新
        -->  [対応策]


● Oracle SSLに関する修正

本問題の修正はデータベース・パッチセット 9.2.0.5 に含まれています。

*) Oracle9iAS 9.0.2/9.0.3 に関する修正は以下のKROWNで案内されている
   パッチに含まれていますので、そちらを適用して下さい。

   KROWN:88842 #68 : Oracle Server製品に関するセキュリティの脆弱性

*) 本修正は Oracle Application Server 10g (9.0.4) に含まれています。

プラットフォーム                リリース    提供状況 
-------------------            --------    --------------- 
Sun Solaris (32-bit)           9.2.0.4     提供可能 (p3210293_9204_SOLARIS.zip    15217bytes) 
Sun Solaris (64-bit)           9.2.0.4     提供可能 (p3210293_9204_SOLARIS64.zip  25611bytes) 
IBM AIX 4.3.3 (64-bit)         9.2.0.4     提供可能 (p3210293_9204_AIX64.zip      22951bytes) 
IBM AIX Based 5L(64-bit)       9.2.0.4     提供可能 (p3210293_9204_AIX64-5L.zip   22951bytes) 
MS Windows NT/2000/XP          9.2.0.4     9.2.0.4 Patch3 に含まれます(OiSC「PSR Download」より入手)
HP-UX PA-RISC (64-bit)         9.2.0.4     提供可能 (p3210293_9204_HP64.zip       26236bytes) 
HP Tru64                       9.2.0.4     提供可能 (p3210293_9204_TRU64.zip      17350bytes) 
HP HP-UX Itanium               9.2.0.4     提供可能 (p3210293_9204_HPUX-IA64.zip    54067bytes)
LINUX x86                      9.2.0.4     提供可能 (p3210293_9204_LINUX.zip      12985bytes) 
LINUX IA64                     9.2.0.4     PSR9.2.0.4の提供後パッチを公開します
HP OpenVMS                     9.2.0.4     提供停止 2004年02月06日(p3210293_9204_AXP.zip) 
                                           ※ Oracle SSLの機能をサポートいたしません

 ** 2003年12月29日に以下のファイルは更新されています。 
 Sun Solaris (32-bit), Sun Solaris (64-bit), LINUX x86 
 ** 2004年 8月18日に以下のファイルは更新されています。 
 IBM AIX Based 5L(64-bit) (提供再開)


プラットフォーム                リリース    提供状況 
-------------------            --------    --------------- 
Sun Solaris (32-bit)           9.0.1.4     提供可能 (p3210342_9014_SOLARIS.zip     256368bytes)
Sun Solaris (64-bit)           9.0.1.4     提供可能 (p3210342_9014_SOLARIS64.zip   518390bytes)
IBM AIX 4.3.3 (64-bit)         9.0.1.4     提供可能 (p3210342_9014_AIX64.zip       377817bytes)
MS Windows NT/2000/XP          9.0.1.4     準備中 
HP-UX PA-RISC (64-bit)         9.0.1.4     提供可能 (p3210342_9014_HP64.zip        492072bytes)
HP Tru64                       9.0.1.4     提供可能 (p3210342_9014_TRU64.zip       325262bytes)
LINUX x86                      9.0.1.4     提供可能 (p3210342_9014_LINUX.zip       235129bytes)
HP OpenVMS                     9.0.1.4     提供停止 2004年02月06日(p3210342_9014_axp.zip)
                                           ※ Oracle SSLの機能をサポートいたしません

プラットフォーム                リリース    提供状況 
-------------------            --------    --------------- 
Sun Solaris (32-bit)           8.1.7.4     提供可能 (p3210385_8174_SOLARIS.zip     281613bytes)
Sun Solaris (64-bit)           8.1.7.4     提供可能 (p3210385_8174_SOLARIS64.zip   456365bytes)
IBM AIX 4.3.3 and 5L (32-bit)  8.1.7.4     提供可能 (p3210385_8174_AIX_tar.Z       401217bytes)
IBM AIX 4.3.3 (64-bit)         8.1.7.4     提供可能 (p3210385_8174_AIX64_tar.Z     593681bytes)
MS Windows NT/2000/XP          8.1.7.4     準備中 
HP-UX PA-RISC (32-bit)         8.1.7.4     提供可能 (3210385_8174_HP32_tar.Z      1022077bytes)
HP-UX PA-RISC (64-bit)         8.1.7.4     提供可能 (p3210385_8174_HP64_tar.Z      755041bytes)
HP Tru64                       8.1.7.4     提供可能 (p3210385_8174_TRU64.zip       390326bytes)
LINUX x86                      8.1.7.4     提供可能 (p3210385_8174_LINUX_tar.Z     345963bytes)
HP OpenVMS                     8.1.7.4     提供予定なし Oracle SSLの機能をサポートいたしません
SCO UnixWare                   8.1.7.4     準備中 
NEC EWS4800                    8.1.7.4     準備中 


    ◆提供可能なパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> CERT CA-2003-26 及び以前の SSL問題に対する SSLの更新
        -->  [対応策]

[Oracle E-Business Suite Release 11i をご使用のお客様]

本問題は Oracle E-Business Suite Release 11iで上記 [影響のある製品/リリース] に
記述されているバージョンの製品をご使用のお客様も対象となります。
ご使用になっている製品、バージョン、OSに適合したパッチを入手して適用して下さい。

・OpenSSLに関する修正
   - R11.5.7以降のバージョン:
      上記の[パッチ情報]の「OpenSSLに関する修正」の情報を参照し、1.0.2.2 用の
      パッチをを入手して適用して下さい。

   - R11.5.1 - R11.5.5のバージョン:
     こちらのバージョンでは OHS バージョン1.0.2.1sが使用されています。
     このバージョンに対するパッチについてはカスタマーサポートセンターにお問い
     合わせ下さい。
     (問い合わせの際、製品をOracle Self-Service Web Applicationsを選択下さい)
  
・Oracle SSLに関する修正
   ご使用のデータベースのバージョン用のパッチを入手して適用して下さい。



[よくある質問とその回答]
  Q. 本現象を発生させる具体的な方法について教えて下さい。
  A. セキュリティに関する情報のため、公開は控えさせて頂いております。

  Q. 以前に報告されているOpenSSLに関するセキュリティ問題の修正は今回の
     パッチに含まれていますか?
  A. セキュリティ・アラートに関するパッチは累積型になっているために、
     以前のセキュリティ・アラートの修正も含まれています。

  Q. CVEとは
  A. CVE は、脆弱性やセキュリティの問題に対する情報のリストです。
     詳しくは以下のサイトを参照して下さい。
     http://cve.mitre.org/ 
     http://cve.mitre.org/about/

  Q. 9iAS 1.0.2.1を使用していますが、この問題の影響はありますか?
  A. はい、Oracle9iAS 1.0.2.1以前のバージョンについては、すでにフルサポート
     期間を終了しているため、1.0.2.2 以上にアップグレードした後に今回の問題
     に対するパッチを適用して下さい。既にフルサポート期間を終了した製品は以下
     です。
     ・Oracle9iAS 1.0.2.1/1.0.2.0
     ・Oracle iAS 8i 1.0.1 for Windows
     ・Oracle iAS 8i 1.0.0

  Q. Oracle Database Standard Editionを使用していますが、この問題の影響は
     ありますか?(Oracle Database Personal Editionも同様)
  A. いいえ、Oracle SSL は Oracle9iまたは8i Enterprise Edition で使用可能な
     アドオン製品です。
     Standard EditionとPersonal Edition ではOracle SSLは使用できません。
     従いまして、このパッチの適用を検討する必要はありません。

  Q. Oracle Database 9.0.1.4 を使用していますが、2種類のパッチを両方適用する
     必要がありますか?
  A. お客様がデータベースに付属の OHS(Apache)をご使用でかつSSLの設定を有効に
     している場合には「OpenSSLに関する修正」のパッチを適用して下さい。
     さらに、Oracle Advanced Security をご使用の場合でSSLの設定がされている
     場合には「Oracle SSLに関する修正」のパッチも適用して下さい。
     OHS と Oracle Advanced Security をご使用頂いていない場合にはパッチを
     適用することは必須ではありません。

  Q. [問題の発生する条件]に「Oracle Advanced Security にてSSLを使用している場合」
     とありますが、使用していないことを確認するにはどのようにすればいいでしょうか?
  A. listener.oraの設定の中で "(PROTOCOL = TCPS)" の設定がされていなければ
     この問題は発生いたしません。この設定がされていないことをご確認下さい。
     
     "(PROTOCOL = TCPS)" が設定されている listener.ora の例:
     ----------------------------------------------------------------------
     LISTENER =
       (DESCRIPTION_LIST =
         (DESCRIPTION =
           (ADDRESS_LIST =
             (ADDRESS = (PROTOCOL = TCPS)(HOST = support.oracle.co.jp)(PORT = 1521))
                                    ^^^^
           )
         )
       )
     ----------------------------------------------------------------------

  Q. Oracle9iAS 9.0.2/9.0.3 には「OpenSSLに関する修正」 と「Oracle SSLに関
     する修正」のどちらが行われるのでしょうか?
  A. 「Oracle SSLに関する修正」になります。[問題の発生する条件]の「Oracle 
     SSLに関する発生条件」をまずご確認下さい。


[参考情報]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0082
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0147
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0543
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0544
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0545
http://www.openssl.org/news/secadv_20030930.txt
http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm
http://www.cert.org/advisories/CA-2003-26.html 

 - マニュアル
   ・J06283-01  Oracle Advanced Security 管理者ガイド  リリース2(9.2)


[謝辞]
Oracle社はこの潜在的なセキュリティ脆弱性に関する情報を提供して頂きました
NISCC (www.niscc.gov.uk) に深く感謝致します。

[更新履歴]
2005/01/25 OpenSSLの9.2.0パッチ情報を更新(AIX 5L)
2004/10/27 OpenSSLの8.1.7パッチ情報を更新(HP Tru64 UNIX)
2004/10/15 OracleSSL の Oracle9iAS 9.0.2/9.0.3 のパッチの記述を変更
2004/08/16 OracleSSL AIX-5L/9.2.0.4 パッチを公開を再開
2004/04/23 文書管理情報を更新しました。
2004/03/31 9.2.0.5に関する記述を変更(予定を削除)
2004/03/17 OracleSSL Windows/9.2.0.4 パッチを公開
2004/03/02 OracleSSL の修正が 9.0.4 に含まれる旨を追記
2004/02/25 OracleSSL AIX 9.0.1.4のパッチ提供開始
2004/02/06 OracleSSLのHP HP OpenVMSパッチの提供を停止
2004/02/06 OracleSSLの9.0.1.4パッチ情報を更新
2004/02/02 OracleSSLの9.0.1.4パッチ情報を更新
2004/02/02 OracleSSL の一部のパッチの提供を再開
2004/01/30 OracleSSL AIX 5L 9.2.0.4のパッチ提供を一時停止
2004/01/23 OracleSSLの一部のパッチの提供を一時停止
2004/01/21 OpenSSLパッチ情報の更新ミスを修正
2004/01/20 OracleSSLの9.2.0.4パッチ情報を更新
2004/01/20 OracleSSLの9.0.1.4パッチ情報を更新
2004/01/20 OracleSSLの8.1.7.4パッチ情報を更新
2004/01/19 OracleSSLの9.2.0.4パッチ情報を更新
2004/01/19 OracleSSLの8.1.7.4パッチ情報を更新
2004/01/15 OracleSSLの8.1.7.4のパッチ情報を更新
2003/12/29 OracleSSLの9.2.0.4のパッチ情報を更新
2003/12/24 9iAS902/903のパッチ情報をOracle SSL に追加
2003/12/15 パッチ情報(Oracle SSL関連)更新
2003/12/12 ASOのFAQを追加
2003/12/11 EBS製品についての情報追加
2003/12/10 FAQを追加
2003/12/10 パッチ情報(OpenSSL関連)更新
2003/12/08 本文書作成