CERT、Oracle サーバーの脆弱性をまとめて勧告

CERT/CC は14日、Oracle サーバーに見つかった約20件の脆弱性に関する情報をまとめ、勧告を出した。

この脆弱性を発見したのは NGSSoftware の David Litchfield 氏で、バッファオーバーフローをはじめ、甘いデフォルト設定、アクセス制限の徹底および入力確認の不足等の内容だ。こうした脆弱性を悪用し任意のコマンドやプログラムコードが実行できたり、サービス不能化攻撃を仕掛けたり、不正に機密情報にアクセスできる可能性があるとしている。

Oracle はすでに修正プログラムを公開しており、設定変更を推奨している。修正プログラムは Oracle の Web サイト MetaLink (要登録) からダウンロードでき、『Oracle Security Alert #28』および『Oracle Security Alert #25』に詳細情報を掲載している。

同勧告書によると、PL/SQL モジュールの HTTP リクエストや構成パラメータ処理時にバッファオーバーフローが発生するという。また複数のコンポーネントでデフォルト設定が甘く、いずれのコンポーネントもアクセス制限に失敗し、『Oracle Application Server』を運用しているシステムはもちろん、データベースに格納した情報も危険にさらすとしている。またこれ以外に、PL/SQL モジュールが提供する Web を用いた管理インタフェースで指定できる構成パラメータを処理するコードにも2カ所、バッファオーバーフローが発生する部分がある。なお同勧告では、上述の管理インタフェースの利用にデフォルトで制限がかかっていない点も問題視している。

さらに Oracle Application Server の初期設定では、デフォルトのパスワードが存在したりとか、アプリケーションや機密情報へのアクセスに制限がかからないなど、複数の不安要素が見つかっている。その上、保護のかかっている資源へのアクセスを許可するにあたって複数のコンポーネントがすべからく認証チェックを十分に行なっていないなど、アクセス制限が徹底していない。Litchfield 氏も同じく、変造した HTTP リクエストを PL/SQL モジュールが正しく処理できない例を挙げている。

CERT はこうした脆弱性を突くことで、一部は『Apache』プロセスに割り当てたユーザー権限で、任意のプログラムが動作し得るとのべた。Oracle Application Server でインストールした Apache プロセスは、UNIX システム上だと通常『oracle』というユーザー権限で動作し、Windows システム上では一般に SYSTEM ユーザー権限で動作する。いずれの場合でも、攻撃を受ければシステムを完全に支配されかねない。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール