文書番号 71739 最終更新日 2004-04-26 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Oracle Files (9.0.3.X - ) [Browser based user interface]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 #60: 任意のユーザがアクセス制限されたコンテンツにアクセス可能となる場合がある
内容:
[深刻度] 
2
◆深刻度の定義についてはOTN セキュリティアラートページ
 (http://otn.oracle.co.jp/security/index.html) の 「米国側PDF資料にお
 ける深刻度表示について」をご参照ください。
 

[問題] 
潜在的なセキュリティ脆弱性が Oracle Collaboration Suite (OCS)リリース 1
に付属しているOracle Files において発見されました。この問題により、悪意
あるOracle Files ユーザがアクセス制限されたコンテンツにアクセスすること
が可能となります。

 
[対象リリース] 
問題が発生するリリース  :Oracle Files 9.0.3.1.X, 9.0.3.2.0, 9.0.3.3.X
                                       (9.0.3.3.5以前)
                          ※本問題は Oracle Files 9.0.4.1(OCS リリース2 
                            (9.0.4.0.0)に付属)以降では発生いたしません。
問題を修正したリリース  :Oracle Files 9.0.4.1.0
                          (Oracle Collaboration Suite 9.0.4.0.0 に付属)
問題を修正予定のリリース:N/A
問題を修正したPSR       :Oracle Files 9.0.3.3.6
問題を修正予定のPSR     :N/A
 

[対象プラットフォーム] 
Oracle Files 9.0.3 が稼動する全プラットフォーム
(Solaris, HP-UX, Linux, Windows)

 
[起こりうる条件] 
悪意のあるユーザが本現象を起こすためには、以下の条件を満たす必要があり
ます。
  - Oracle Files へのWebアクセス時にWeb Cache を経由するよう構成されて
    いる (ただし、この構成はデフォルトで行われています。)
  - 有効なOracle Files ユーザアカウントを使用できる

 
[原因] 
Oracle Collaboration Suite リリース1 に付属している Oracle Files 9.0.3
では、Oracle WebCache は次のタイプのファイルをキャッシュできるようルー
ル設定されています: js, html, pdf, gif, bmp/png, jpg/jpeg。 そして、
Oracle Files 9.0.3.3.6以前のリリースでは、Files からこれらのファイルを
ダウンロードする際にもキャッシュを禁止しません。
これらの状況により、Oracle Files 上の任意のユーザが、本来アクセスでき
ないはずのコンテンツに対してアクセスすることが可能になります。
 

[回避策] 
以下の手順によりWebCache のデフォルト・キャッシュ・ルールを変更すること
で、問題が回避されます。

[手順]
1.
WebCache 管理画面(http://{midtierホストアドレス}:{Web Cache Admin Port}/)
にアクセスします。
なお、Web Cache Admin Port が不明な場合は、
$ORACLE_HOME/install/portlist.ini を開き、"Oracle9iAS Web Cache Admin 
Port" に設定されているポート番号を確認、アクセスしてください。

2.
「Web Cache Manager」のリンクをクリックします。

3.
メニューフレーム(画面左側)より、「General Configuration」 の下にある
「Cacheability Rules」のリンクをクリックします。

4.
「Cachability Rules」画面にて、「For All Sites」に設定されている
キャッシュルールを無効化します。
まず、「URL Expression」列が "\.pdf$"に設定されているルールを
選択(select 列のラジオボタンをチェック)し、[Delete]をクリックします。

5.
4. と同じ手順を、「URL Expression」列に以下が設定されている各列に
対して繰り返して行い、すべてのルールを削除します。(最終的にはこの
作業により5つのルールが削除されます。)
    - "\.html?$"

    - "\.(gif|jpe?g)$"
    - "\.(bmp|png)$"
    - "\.js$"

6.
画面上部の[Apply Changes]ボタンをクリックします。

7.
表示された「Operations」画面にて [Restart]ボタンをクリックし、WebCache
を再起動します。

WebCache の無効化の詳細については、「Oracle9iAS Web Cache 管理および配置
ガイド リリース9.0.2」をご参照ください。


[リスクを最小限に抑えるには] 
上述の回避策を確認のうえ、以下のホワイトペーパのガイドに従ってください。
また、ファイアウオール等の設置について検討ください。
(日本語訳)
  http://otndnld.oracle.co.jp/idba/security/oracle9ir2/pdf/9ir2_checklist_new.pdf
  http://otndnld.oracle.co.jp/deploy/security/pdf/9i_checklist_fixed.pdf
  http://otn.oracle.co.jp/idba/security/9ias/
(原文)
  http://otn.oracle.com/deploy/security/oracle9i/pdf/9ir2_checklist.pdf
  http://otn.oracle.com/deploy/security/oracle9i/pdf/9i_checklist.pdf
  http://otn.oracle.com/deploy/security/oracle9ias/pdf/securingias.pdf

 
[パッチ情報] 
本問題の修正パッチ(Oracle Files リリース 9.0.3.3.6) をOiSC にて公開中
です。このパッチは、全プラットフォーム共通で、以下のバージョンのOracle
Files に適用可能です。
  - Oracle Files Release 9.0.3.1.x
  - Oracle Files Release 9.0.3.2.0
  - Oracle Files Release 9.0.3.3.x

◆公開済みのパッチにつきましては以下の場所からダウンロードを行って下さ
  い。
http://otn.oracle.co.jp
  --> セキュリティ・アラート
    --> 任意のユーザがアクセス制限されたコンテンツにアクセス可能となる
        場合がある
      -->  [対応策]  


[更新履歴] 
2004/04/26 文書管理情報を更新
2003/11/05 本文書公開@SNL_DATE=0312