[深刻度] 
2
◆深刻度の定義についてはOTN セキュリティアラートページ
(http://otn.oracle.co.jp/security/index.html) の 
「米国側PDF資料における深刻度表示について」をご参照ください。


[問題]
Oracle9i Lite の Mobile サーバーおよび Web-to-Go サーバーにおいて
下記の潜在的な脆弱性が発見されました。

1. データベース上の Mobile サーバー・リポジトリのスキーマのパスワードを
   知ることができる場合がある（Oracle Lite の Mobile ユーザーの
   パスワードではありません）

2. Mobile サーバーおよび Web-to-Go サーバーにアクセスしたブラウザからの
   特定の入力により、リポジトリ・データベース上で SQL 文を実行できる
   （SQL インジェクション）

Oracle Lite R3.5/Oracle8i Lite R4.0 ではこの問題は発生しません。
Oracle9i Lite R5.0 でも、Mobile サーバーを使用せずに Lite データベースのみを
使用している場合には、この問題は発生しません。


[対象リリース]
問題が発生するリリース  : Oracle9i Lite リリース 5.0.0
　　　　　　　　　　　    Oracle9i Lite リリース 5.0.1
　　　　　　　　　　　    Oracle9i Lite リリース 5.0.2

問題を修正したPSR　　　 : Oracle9i Lite リリース 5.0.2.10.0 パッチセット


[対象プラットフォーム]
Oracle9i Lite の Mobile サーバー／Web-to-Go サーバーが動作する
すべてのプラットフォーム（AIX、HPUX、Linux、Solaris、Windows）
（ただし、日本でサポートされているプラットフォームは Windows のみです）


[起こりうる条件]
悪意のあるユーザがこの脆弱性を利用するためには、それぞれの問題について、
以下の条件を満たす必要があります。

問題 1 の条件
・Mobile サーバーが動作しているサーバーに OS 上でのログインが可能であること

問題 2 の条件
・Mobile サーバーまたは Web-to-Go サーバーにブラウザ等で HTTP 接続が可能であること


[回避策]
回避策はありません。R5.0.2.10.0 パッチセットを適用する必要があります。
R5.0.0/R5.0.1 をご使用の場合には、R5.0.2.0.0 へリリースアップした後に
R5.0.2.10.0 パッチセットを適用してください。

問題 1 の回避のためには、パッチを適用して Mobile サーバーを起動した後に、
http://servername/webtogo/startup
にブラウザからアクセスして、Mobile サーバー・リポジトリのパスワードを
変更する必要があります。
Oracle Lite の Mobile ユーザーのパスワードを変更する必要はありません。


[パッチ情報] 
本問題を修正した、Oracle9i Lite リリース 5.0.2.10.0 パッチセットが
公開されています。このパッチセットは R5.0.2.0.0 から R5.0.2.9.0 の
バージョンに適用可能です。R5.0.0/R5.0.1 については、一度 R5.0.2.0.0 に
リリースアップした後に R5.0.2.10.0 パッチセットを適用してください。


[よくある質問とその回答]

  Q. Oracle Lite データベースのみを使用していて、Mobile サーバーを使用した
     同期は行なっていない場合には、この問題は発生するのでしょうか。
  A. Mobile サーバーを使用していない場合にはこの問題は発生しません。

  Q. 普通に使用している状態で、この問題が発生する可能性はあるでしょうか。
  A. 悪意あるユーザーにより意図的な操作が行なわれない限り、通常の使用方法では
     この問題は発生しません。

  Q. 本現象を発生させる具体的な方法について教えて下さい。
  A. セキュリティに関する情報のため、公開は控えさせていただいております。


[謝辞]
オラクル社はこの脆弱性に関する情報を提供していただいた Alexander Kornbrust 氏に
深く感謝いたします。


[更新履歴]
2004/04/22 文書管理情報を更新しました。
2004/2/19  本文書を作成@SNL_DATE=0403