文書番号 79279 最終更新日 2005-04-15 公開区分 一般公開 文書タイプ PROBLEM
製品名(バージョン)[コンポーネント] Web Cache ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書  
概要 #66 Oracle Application Server Web Cache の複数のセキュリティ脆弱性
内容:
#66 Oracle Application Server Web Cache の複数のセキュリティ脆弱性

[深刻度]  1

* 米国側PDF資料における深刻度表示について
    http://otn.oracle.co.jp/security/severity/index.html
    

[問題]
複数のセキュリティ脆弱性が Oracle Application Server Web Cache 10g (9.0.4.0.0) 
とOracle9i Application Server の Web Cache で発見されました。


[影響のある製品/リリース]
・Oracle Application Server Web Cache 10g (9.0.4.0.0)
・Oracle9iAS Web Cache 9.0.3
・Oracle9iAS Web Cache 9.0.2
・Oracle9iAS Web Cache 2.0.0(注1)

注1:Oracle9iAS Web Cache 2.0.0 は、Oracle9i Application Server リリース 1 に
     付属されています。


[問題を修正したリリース]
Solaris/Linux/HP-UX
・Oracle Application Server Web Cache 10g (10.1.2.0)
Windows/HP Tru64/AIX 5L
・Oracle Application Server Web Cache 10g (9.0.4.0)


[問題を修正したPSR]
Solaris/Linux/HP-UX
・Oracle Application Server Web Cache 10g (9.0.4.1)


[対象プラットフォーム]
すべてのプラットフォーム


E-Business Suite 11i で Oracle iStore 11i (11i.IBE.O以降) と Oracle Web 
Cache 9.0.2.2 の組み合わせで使用している場合、パッチ情報の Oracle9iAS Web 
Cache 9.0.2 のパッチを適用してください。

詳しくはパッチ情報を参照してください。


[起こりうる条件]
オリジナル・サーバに指定したHTTPサーバの種類に関わらず(例えば、Oracle HTTP 
Server や、一般のApacheなど他社製ウェブサーバなど)、Oracle Application Server 
Web Cache リスナーが運用されている場合に発生します。
クライアントからのリクエストが、Web Cache を介せず、直接オリジナル・サーバ
(例えば、Oracle HTTP Server や、一般のApacheなど他社製ウェブサーバなど)に送信
された場合には、本脆弱性の問題には該当しません。

Oracle Application Server の バージョン・インストール構成によっては、Web Cache 
はデフォルトでインストールされていますが、起動し利用していなければこの脆弱性の影響を
受けません。

・1.0.2.2
 Core Edition および Enterprise Edition の両方でインストールおよび構成されます。
・9.0.2 および 9.0.3
 Infrastructure ではインストールはされていますが、構成はされていません。
 J2EE&WebCache ではインストールされており、構成するしないはインストール時に選択
 可能です。デフォルトでは構成されます。
 Portal&Wireless と BI&Forms ではインストールされ、構成されています。
・10g(9.0.4)
 Infrastructure ではインストールされません。
 J2EE&WebCache ではインストールされており、構成するしないはインストール時に選択
 可能です。デフォルトでは構成されません。
 Portal&Wireless と BI&Forms ではインストールされ、構成されています。

注)WebCacheを使用するにはEnterpriseEditionのライセンスが必要です。
  ただし、Portalとの連携の場合はStandard Editionのライセンスで使用できます。
  Portal 使用時に Web Cache を使用しないように構成するためには、
  KROWN:50511 の 2. に従ってください。


[危険度]
本脆弱性は高い危険度になります。 
イントラネットや、イントラネットとインターネット間に設定されたファイヤーウォール
では本脆弱性を防ぐことはできません。


[リスクを最小限に抑えるためには ]
WebCache を使用している場合、本脆弱性には回避策がありません。
Oracle社は本脆弱性を修正したパッチを適用することを強く推奨いたします。


[原因]
本セキュリティ情報では、1つの特定の問題ではなく、バッファオーバーフローなど、
複数の潜在的な脆弱性を集積した修正をご案内しております。


[パッチ情報]
現時点での個別パッチの作成状況を以下に記載します。
パッチの作成状況が変更次第、本文書上で案内します。パッチの公開状況に関し
ましては、常に本文書が最新の情報になります。

なお、本問題は、「Critical Patch Update - January 2005」に含まれており、
以降にリリース予定の Critical Patch Update にも含まれております。

以下は本問題が修正された PSR です。
・OracleAS Web Cache 10g (9.0.4.1)
  (9.0.4.1で本問題修正の対象となるプラットフォームはSolaris/Linux/HP-UXです。)
 プラットフォーム      提供状況
 --------------------  ------------------------
 Sun Solaris (32-bit)  p3784229_9041_SOLARIS.zip
 HP-UX (64-bit)        p3784229_9041_HP64.zip
 LINUX x86             p3784229_9041_LINUX.zip

以下は本問題が修正された個別パッチです。
・OracleAS Web Cache 10g (9.0.4.0.0)
 プラットフォーム      提供状況
 --------------------  ------------------------
 Sun Solaris (32-bit)  p3319824_9040_SOLARIS.zip 
 IBM AIX 5L(64-bit)    N/A
 HP-UX (64-bit)        p4005890_9040_HP64.zip 
 HP Tru64              N/A
 LINUX x86             p3319824_9040_LINUX.zip 
 MS Windows NT/2000    N/A

・Oracle9iAS Web Cache 9.0.3
 ※Oracle9iAS PSR 9.0.3.1.0 を適用後、以下のパッチを適用してください。
 プラットフォーム      提供状況
 --------------------  ------------------------
 Sun Solaris (32-bit)  p3621435_9031_SOLARIS.zip 
 IBM AIX (64-bit)      p4005887_9031_AIX64.zip
 IBM AIX 5L(64-bit)    p4005887_9031_AIX64-5L.zip
 HP-UX (64-bit)        p4005887_9031_HP64.zip
 HP Tru64              p4005887_9031_TRU64.zip
 LINUX x86             p4005887_9031_LINUX.zip
 MS Windows NT/2000    p4005887_9031_WINNT.zip

・Oracle9iAS Web Cache 9.0.2
 ※Oracle9iAS PSR 9.0.2.3.0 を適用後、以下のパッチを適用してください。
 プラットフォーム      提供状況
 --------------------  ------------------------
 Sun Solaris (32-bit)  p3573405_9023_SOLARIS.zip
 IBM AIX (64-bit)      p4005883_9023_AIX64.zip
 IBM AIX 5L(64-bit)    p4005883_9023_AIX64-5L.zip
 HP-UX (64-bit)        p3573405_9023_HP64.zip
 HP Tru64              p4005883_9023_TRU64.zip
 LINUX x86             p4005883_9023_LINUX.zip
 MS Windows NT/2000    p3573405_9023_WINNT.zip

・Oracle9iAS Web Cache 2.0.0
 ※Oracle9iAS Web Cache 2.0.0.4 を適用後、以下のパッチを適用してください。
 プラットフォーム      提供状況
 --------------------  ------------------------
 Sun Solaris (32-bit)  p4005880_102_SOLARIS.zip
 IBM AIX (64-bit)      p4005880_102_AIX.zip
 HP-UX (64-bit)        p4005880_102_HPUX11.zip
 HP Tru64              p4005880_102_TRU64.zip
 LINUX x86             p4005880_102_LINUX.zip
 MS Windows NT/2000    p4005880_102_WINNT.zip


[よくある質問とその回答]
 Q1. 本現象を発生させる具体的な方法について教えて下さい。
 A1. セキュリティに関する情報のため、公開は控えさせて頂いております。

 Q2. WebCache が起動しているか確認する方法はありますか?
 A2. サーバー上で WebCache のプロセスが起動されているか確認してください。
  (UNIXプラットフォーム)
   > ps -ef | grep webcached
  (Windows)
   タスクマネージャで「webcached.exe」というプロセスが実行中か確認してください。


[更新履歴]
2005/04/16 全プラットフォームパッチリスト更新
2004/09/29 9iAS(9.0.2.3)Windows版パッチ公開
2004/09/16 9.0.4.0/9.0.4.1での修正情報の更新
2004/06/11 9iAS(9.0.2.3)Solaris版・HP版パッチ公開
2004/05/21 9iAS(9.0.3)Solaris版パッチ公開
2004/04/22 文書管理情報を更新しました。
2004/03/23 10g(9.0.4)Solaris版パッチ公開
2004/03/16 Poral連携時のライセンス情報追記
2004/03/15 本KROWN作成