Oracle9i AS に DoS 攻撃の恐れ

セキュリティコンサルタント会社 @stake は28日、『Oracle9i Application Server』にサービス不能化 (DoS) 攻撃を受ける可能性のある脆弱性があるとして、セキュリティ情報を公開した。同脆弱性については、8月に Oracle へ通知していた。

同製品はサーバー負荷を軽減するリバースプロクシキャッシュ機能『Oracle9iAS Web Cache』を備えており、その管理ツール『Web Cache Manager』の Windows 版に脆弱性が存在するという。Web インターフェースで操作するため、ポートを開いて HTTP リクエストを待ち受けているが、ある2つのパターンの HTTP リクエストを受けると、DoS が成立するという。

2つのパターンとは、少なくとも1つ以上の「../」を含む URL を要求する HTTP GET リクエストと、不正な形式の GET リクエストで、いずれの場合も異常処理となって管理ツールが終了してしまう。

前述した通り Oracle でも同脆弱性を確認済みで、セキュリティ勧告を発表している。同勧告では対策として、「Web Cache 管理用ポートへのアクセスを、ファイアウォール技術を使って制限」するよう強く勧めている。

さらに、同ツールの Secure Subnets 機能を使って、特定の IP アドレスもしくはサブネットから接続する管理者以外のアクセスを制限することも勧めている。

Oracle は「当社社内で同脆弱性を追及しており、Oracle9i Application Server リリース 9.0.4 では解消する」と述べた。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール