文書番号 77553 最終更新日 2004-08-20 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Application Server 全般(インストール,PSR等) (1.0.2 - 9.0.3) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 166869.12   73909   79738  
概要 #65 Oracle9i Application Server と Database Server のセキュリティ脆弱性
内容:
#65 Oracle9i Application Server と Database Server のセキュリティ脆弱性

[深刻度]  2

* 米国側PDF資料における深刻度表示について
    http://otn.oracle.co.jp/security/severity/index.html
    

[問題]
セキュリティ脆弱性が Oracle9i Application Server と Oracle9i Database 
Server に発見されました。この脆弱性は巧妙に作成されたDTDs(Data Type 
Definitions)を含む XML形式の SOAP(Simple Object Access Protocol) メッセージ
を処理する際の問題です。
SOAPは Web Services の基礎部分であり、Web Services にも影響があります。


[影響のある製品/リリース]

  ・Oracle9i Application Server リリース 2, バージョン 9.0.3 
  ・Oracle9i Application Server リリース 2, バージョン 9.0.2 
  ・Oracle9i Application Server リリース 1, バージョン 1.0.2.2 
  ・Oracle9i Database Server リリース 2, バージョン 9.2.0 
  

   注1:・Oracle9i Database Server リリース 1, バージョン 9.0.1 は
        影響が無いことが判明し 4月27日に[影響のある製品/リリース]から削除しました。

   注2: Oracle E-Business Suite Release 11i (EBS)をご使用のお客様で上記に記述
        されているバージョンの製品をご使用の場合でも対象となります。ご使用に
        なっている製品、バージョン、OSに適合したパッチを入手して適用して下さい。
        EBSをご使用のお客様で p3072811 OHS patch (OHS rollup4)を適用する場合は
        KROWN#73909をご参照下さい。


[問題を修正したリリース]
  ・Oracle Application Server 10g (9.0.4)
  ・Oracle Database 10g Release 1

[問題を修正したPSR]
 - XMLに関する修正
   ・Oracle9i Database パッチセット 9.2.0.3

 - SOAPに関する修正
   ・Oracle9i Application Server パッチセット 9.0.3.1

[対象プラットフォーム]
すべてのプラットフォーム

[起こりうる条件]
SOAPの設定がされている場合に影響があります。
XMLとSOAPはOracle HTTP Server をインストールする際にデフォルトでインストール
されます。

[危険度]
Oracle9i Application Server リリース 2, バージョン 9.0.2.1 以前は SOAPへの
認証がデフォルトで有効になっていないために高い危険度になります。 
9.0.2.2以降と Oracle9i Database Server に関してはデフォルトで認証が有効になって
いるために危険度は低くなります。
知識と悪意のあるユーザはこの脆弱性を利用して サービスの妨害(Denial of Service)
を Oracle9i Application Server と Oracle9i Database Server に対して引き起こす
事ができます。


[リスクを最小限に抑えるためには ]
SOAP を使用していない場合には、SOAPを無効にすることが回避策になります。
以下の SOAP のライブラリをリネームまたは削除することによってSOAPを無効にすること
ができます。

Oracle9i Application Server 9.0.2/9.0.3 の場合:

変更後 OC4Jを再起動して下さい。

   soap.jarの位置:
   ${ORACLE_HOME}/soap/lib/soap.jar
   
   リネームの例:
   > cd ${ORACLE_HOME}/soap/lib/
   > mv soap.jar soap.jar.SecurityAlert65

また、この対処を行う場合には以下のKROWNも併せてご参照下さい。

KROWN#79738 soap.jar をリネームすると DAD の作成に失敗する


Oracle9i Application Server 1.0.2.2 と
Oracle9i Database Server 9.2.0 の場合:

変更後 Oracle HTTP Server を再起動して下さい。

   soap.jarの位置:
   ${ORACLE_HOME}/soap/webapps/soap/WEB-INF/lib/soap.jar

   リネームの例:
   > cd {ORACLE_HOME}/soap/webapps/soap/WEB-INF/lib/
   > mv soap.jar soap.jar.SecurityAlert65

このファイルをリネームまたは削除することによって Web Service を含む SOAP の
アクセスができなくなります。


[原因]
SOAPリクエストに含まれるDTDsの処理中の脆弱性が発見され、その部分を修正いたしました。


[パッチ情報]
現時点での個別パッチの作成状況を以下に記載します。

今回のセキュリティ・アラートでは以下の2種類のパッチが提供されます。
SOAPを使用する場合には両方の修正が必要になります。

・XMLに関する修正
   xmlparserv2.jar に対する修正が含まれます
・SOAPに関する修正
   soap.jar に対する修正が含まれます。

● XMLに関する修正   

リリース    提供状況
AS9.0.3     提供可能:p2701717_903_GENERIC.zip   (49,359 bytes)
AS9.0.2     提供可能:p2701717_902_SOLARIS.zip   (49,333 bytes)
                      p2701717_902_HP64.zip      (48,491 bytes)
                      p2701717_902_TRU64.zip     (48,487 bytes)
                      p2701717_9020_AIX64-5L.zip (48,489 bytes)
                      p2701717_902_AIX64.zip     (48,496 bytes)
                      p2701717_902_LINUX.zip     (48,490 bytes)
                      p2701717_902_WINNT.zip     (48,499 bytes)
AS1.0.2.2   パッチは必要ありません
DB9.2.0     パッチセット 9.2.0.3 以降に修正が含まれています

● SOAPに関する修正

リリース    提供状況
---------   -------------------------------------------------
AS9.0.3     パッチセット 9.0.3.1 以降に修正が含まれています
AS9.0.2     提供可能:p2701372_9021_GENERIC.zip (259,623 bytes)
AS1.0.2.2   提供可能:p3072811 OHS patch (OHS rollup4)
DB9.2.0     提供可能:p2701372_9200_GENERIC.zip (170,141bytes)


  AS: Oracle9i Application Server
  DB: Oracle9i Database Server

    ◆提供可能なパッチにつきましては以下の場所からダウンロードを行って下さい。

      http://otn.oracle.co.jp
      --> セキュリティ・アラート
       --> Oracle9i Application Server と Database Server のセキュリティ脆弱性
        -->  [対応策]


[よくある質問とその回答]
 Q1. 本現象を発生させる具体的な方法について教えて下さい。
 A1. セキュリティに関する情報のため、公開は控えさせて頂いております。
  
 Q2. デフォルトで SOAPは使用可能な状態になっていますか?
 A2. Oracle9i Application Server 1.0.2.2 と Oracle Database Server 9.2.0 
     ではデフォルトでSOAPの設定が有効になっています。
     Oracle HTTP Server をデフォルトの設定で起動している場合には問題が
     あります。SOAPを使用しない場合には[リスクを最小限に抑えるためには ]
     を参照してSOAPを無効にして下さい。
     また、現在SOAPの設定がされている場合で、SOAPを無効にしたい場合には
     Jservの設定ファイルを編集し、以下の4行をコメントアウトします。 
     Jservの設定ファイルはhttpd.confで位置が指定されており、デフォルトでは
     UNIX版、Windows版でそれぞれ以下の位置に存在しています。

     -UNIX版     $ORACLE_HOME/Apache/Jserv/etc/jserv.conf
     例:(#をつけてコメントアウト)
     # ApJServGroup group2 1 1 $ORACLE_HOME/Apache/Jserv/etc/jservSoap.properties
     # ApJServMount /soap/servlet ajpv12://localhost:8200/soap
     # ApJServMount /dms2 ajpv12://localhost:8200/soap
     # ApJServGroupMount /soap/servlet balance://group2/soap
     
     -Windows版  %ORACLE_HOME%\Apache\Jserv\conf\jserv.conf
     例:(#をつけてコメントアウト)     
     # ApJServGroup group2 1 1 %ORACLE_HOME%\Apache\Jserv\conf\jservSoap.properties
     # ApJServMount /soap/servlet ajpv12://localhost:8200/soap
     # ApJServMount /dms2 ajpv12://localhost:8200/soap
     # ApJServGroupMount /soap/servlet balance://group2/soap

     また、Oracle9i Application Server 9.0.2/9.0.3 のデフォルトの状態
     ではSOAPのライブラリを使用した OC4Jのアプリケーションは配布されて
     いません。そのためSOAPの機能は使用できない状態になっています。
     しかしOC4Jの起動時に、SOAPのライブラリ自体は読み込まれます。
     そのためSOAPライブラリを使用するOC4Jのアプリケーションが今後配布
     される可能性がある場合には修正パッチの適用を強くお勧めします。

 Q3. Oracle9i Application Sserver 9.0.2/9.0.3 では Oracle9iAS OC4Jの 
     Web Services と Oracle9iAS SOAP(Apache SOAP) の Web Serveces が
     使用できますが、どちらに影響があるのでしょうか?
 A3. 今回の修正(soap.jar)はどちらの方式でも使用されるライブラリですので
     両方共に影響があります。
       
 Q4. earファイルの中に soap.jar を配布している場合にはどうすればいいでしょうか?
 A4. earファイルの中の soap.jar を入れ替えて再度配布(デプロイ)する必要があります。
     Oracle9i Application Server 9.0.2/9.0.3 ではOC4J起動時に自動的に 
     $ORACLE_HOME/soap/lib/soap.jar を読み込みますので、earファイルに含める必要は
     ありません。もし earファイルに含んで配布をしている場合 (例えば $ORACLE_HOME/
     soap/lib/soap.ear をアプリケーション名 soap として homeインスタンスに配布した場合)
     は、以下のようなディレクトリに soap.jar が配置されます。

         $ORACLE_HOME/j2ee/home/applications/soap/WEB-INF/lib/soap.jar
     
     各OC4Jインスタンスの下の applications ディレクトリ以下を確認して下さい。

 Q5. Oracle8i Database Server 8.1.7 を使用していますが、影響はありますか?
 A5. Oracle8i Database Server 8.1.7 には影響はありません。

 Q6. Oracle9i Database Server を使用していますが、影響がある場合とは
     どのようなケースでしょうか?
 A6. 影響がある場合は以下のすべての条件を満たしている場合です。
     ・Oracle HTTP Server がインストールされている
     ・SOAPの設定がされている(SOAPのデフォルト設定については Q2/A2を参照)
     ・外部からアクセスできる状態で稼働している

 Q7. Oracle9i Application Server 1.0.2.1 以前の製品には影響があるの
     でしょうか?
 A7. Oracle9i Application Server 1.0.2.1 以前(WAS/OASを含む)の製品
     には SOAPの機能は付属していないために今回の問題の影響はありません。


[参考情報]

KROWN#166869.12 Oracle9iASリリース1.0.2.2 SOAPのデフォルト設定におけるセキュリティ上の問題点 
KROWN#79738 soap.jar をリネームすると DAD の作成に失敗する

マニュアル
 J05903-01 Oracle9iAS Web Services 開発者ガイド リリース9.0.2 

[謝辞]
Oracle社はこの潜在的なセキュリティ脆弱性に関する情報を提供して頂きました
Sanctum Inc. の Amit Klein 氏に深く感謝致します。

[更新履歴]
2004/08/20 Q2 の部分の 902/903 の記述に追記
2004/05/27 [パッチ情報] を更新(AS9.0.2 のパッチを公開)
2004/04/27 [影響のある製品/リリース] から 9.0.1 を削除
2004/04/22 文書管理情報を更新しました。
2004/04/05 KROWN#73909 を注2に追記
2004/04/02 EBS11iのお客様も影響があることを追記
2004/03/29 [パッチ情報] を更新
2004/03/23 KROWN#79738 を9.0.2/9.0.3に追記
2004/03/15 XML の AS9.0.2 のパッチステータスを停止中に変更
2004/02/26 [パッチ情報] を更新
2004/02/26 変更後再起動が必要な旨を追記
2004/02/24 Q&A 7 を追加
2004/02/24 [原因][問題を修正したリリース][問題を修正したPSR] を追加
2004/02/23 Q&A 6 を追加
2004/02/20 本文書作成