公開日:2006/10/19 最終更新日:2006/10/26

JVNTA06-291A
Oracle 製品に複数の脆弱性

概要


Oracle 製品およびそのコンポーネントに複数の脆弱性が存在します。

影響を受けるシステム


  • Oracle10g Database
  • Oracle9i Database
  • Oracle8i Database
  • Oracle Application Express (formerly known as Oracle HTML DB)
  • Oracle Application Server 10g
  • Oracle Collaboration Suite 10g
  • Oracle9i Collaboration Suite
  • Oracle E-Business Suite Release 11i
  • Oracle E-Business Suite Release 11.0
  • Oracle Pharmaceutical Applications
  • Oracle PeopleSoft Enterprise Portal Solutions
  • Oracle PeopleSoft Enterprise PeopleTools
  • JD Edwards EnterpriseOne Tools
  • JD Edwards OneWorld Tools
  • Oracle Reports Developer client-only installations
  • Oracle Containers for J2EE client-only installations


上記以外の複数の製品あるいはコンポーネントも影響を受ける可能性があります。詳しくは、ベンダの提供する情報をご確認ください。

詳細情報

想定される影響


遠隔の第三者が任意のコマンドやコードを実行したり、情報漏洩、サービス運用妨害(Denial-of-Service)攻撃が行なわれる可能性があります。なお、これらの影響は対象製品やコンポーネント、設定等により異なります。

対策方法

ベンダ情報

ベンダ リンク
Oracle Oracle Critical Patch Update - October 2006
Oracle Critical Patch Updates and Security Alerts
Oracle MetaLink Note 391563.1 (要ユーザ登録)
富士通 TA06-291に対する富士通の情報

参考情報

  1. US-CERT Vulnerability Note VU#744929
    mod_ssl fails to properly enforce client certificates authentication
  2. US-CERT Vulnerability Note VU#395412
    Apache mod_rewrite contains off-by-one error in ldap scheme handling
  3. US-CERT Vulnerability Note VU#717140
    Oracle ENABLE_HIERARCHY_INTERNAL procedure vulnerable to PL/SQL injection
  4. US-CERT Vulnerability Note VU#716964
    Oracle PREPARE_UNBOUNDED_VIEW procedure vulnerable to PL/SQL injection
  5. Oracle
    Oracle Database Security Checklist (PDF)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
NISCC Advisory
TRnotes
CVE CVE-2005-2700 VU#744929
CVE-2006-3747 VU#395412

更新履歴

2006/10/23
参考情報:US-CERT の Vulnerability Note へのリンクを追加しました。
CERT Advisory のリンク表記を修正しました。
2006/10/26
ベンダ情報:富士通の情報を追加しました。