[タイトル]
#67 : EBSの不正なアクセスに対する脆弱性 (対象バージョン: 11.0、11.5.1-11.5.8)

[深刻度]  1

* 米国側PDF資料における深刻度表示について
    http://otn.oracle.co.jp/security/severity/index.html

[概要]
潜在的なセキュリティ脆弱性が Oracle Applications 11.0 全リリース及び 
Oracle E-Business Suite リリース11i (R11.5.1 - R11.5.8)の中で発見
されました。この潜在的なセキュリティの脆弱性により、悪意のあるユーザーは、
権限外のプロシージャーの実行または任意のSQLをデータベース上で
実行できてしまう可能性があります。


[発生条件]
Oracle Applications 11.0 全リリース及び
Oracle E-Business Suite 11i(R11.5.1-R11.5.8)では
この問題の影響を受けます。

Oracle E-Business Suite 11i R11.5.9以降のバージョンを
ご使用のお客様はこの問題の影響を受けません。


[対処]
このセキュリティの脆弱性は下記のパッチを適用することにより修正されます。
R11.0 はパッチ:3648066 (Baseのみ)　になります。
R11.5.1-R11.5.8 はパッチ:3644626 (Baseのみ)　になります。

----------------------
R11をご利用の場合
----------------------
R11.0のパッチ:3648066を適用する前に$APPL_TOP/frm の
ディレクトリがあるかを確認してください。このディレクトリが
存在すればそのままパッチ:3648066を適用してください。
ディレクトリが存在しない環境ではこのセキュリティアラートの
影響を受けませんのでパッチ適用の必要はございません。

[注意] $APPL_TOP/frm が存在しない環境ではこのセキュリティアラートの
影響を受けないため、パッチ:1538127は適用する必要ありません。


----------------------
R11iをご利用の場合
----------------------
R11.5.1-R11.5.8 のパッチ:3644626適用後、ADI_FILEのパッケージが
INVALIDになりますが、日本にてご提供されていない(サポートを
開始していない)機能ですのでBase環境、NLS環境共に無視して頂いて問題ありません。

ADのミニパックレベルが低い場合、KROWN#73481で紹介しているエラーが
でると報告されています。
その場合には、以下のいずれかのパッチレベルまで上げて下さい。

　１．AD.F(2141471)以上のミニパック
　２．AD.E(1945611) + 2177442

[注意]
セキュリティの問題ですので、弊社に再現方法をお問合せ頂く事は、
遠慮させて頂いております。何卒ご了承下さい。

[参考資料]
MetaLinkよりNote:274356.1をご参照ください。

[更新履歴]
2005/05/13 R11をご利用の場合のパッチ:1538127の情報を追加
2004/09/03 製品バージョン追記
2004/06/15 - R11.0の適用条件の追加
           - R11iに対するパッチ適用時のエラー対象方法を追加
2004/06/14 管理情報の変更（本文の変更はありません）
2004/06/10 ADI_FILEのINVALID時の情報を追加
2004/06/08 R11iのADI_FILEのINVALIDは無視して問題ないを追加
2004/06/07 R11.0 はパッチ:3648066 (Base、NLS)から(Baseのみ)に変更
2004/06/04 本文書を公開