公開日:2004/06/09 最終更新日:2004/06/09

JVNTA04-160A
Oracle E-Business Suite に SQL インジェクションの脆弱性

概要

Oracle Applications 11.0 全リリースならびに、Oracle E-Business Suite リリース11i (R11.5.1-R11.5.8) には、SQL インジェクションに関する脆弱性が存在します。

影響を受けるシステム

  • Oracle Applications 11.0 全リリース
  • Oracle E-Business Suite 11i (R11.5.1-R11.5.8)
    注:Oracle E-Business Suite 11i R11.5.9 以降のバージョンはこの問題の影響を受けません。

詳細情報

想定される影響

遠隔から第三者が権限外のプロシージャーや任意の SQL をデータベース上で実行したり、データベースに格納された情報の読み取り/改変/削除を行なう可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA04-160Aに対する富士通の情報
富士通 TA04-160Aに対するSolaris OEの情報
オラクル EBSの不正なアクセスに対する脆弱性

参考情報

  1. US-CERT Vulnerability Note VU#961579
    Oracle E-Business Suite SQL Injection vulnerabilities
  2. CIAC Bulletin O-153
    Oracle E-Business Suite SQL Injection Vulnerability
  3. ISS X-Force Database: oracle-ebusiness-sql-injection(16324)
    Oracle E-Business SQL injection

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-2301
JPCERT/CC REPORT 2004-06-16
CERT Advisory Technical Cyber Security Alert TA04-160A
SQL Injection Vulnerabilities in Oracle E-Business Suite
CPNI Advisory
TRnotes
CVE
JVN iPedia