公開日:2006/02/14 最終更新日:2006/02/14

JVNVU#169164
Oracle PL/SQL Gateway の HTTP request 検証機構に脆弱性

概要


オラクル製品の PL/SQL Gateway には、HTTP request の検証機構に脆弱性が存在します。PL/SQL Gateway は、HTTP プロトコル経由でのオラクルデータベースへのアクセス機能を提供しています。

影響を受けるシステム

  • Oracle PL/SQL Gateway を稼動させているサーバ

    2006/02/14 現在、ベンダからはパッチの提供が行なわれていません。
    有効な回避策として下記のものが紹介されています。

    ・dads.conf ファイル内の always_describe もしくは PlsqlAlwaysDescribeProcedure を ON にする
    ・Oracle HTTP Server を無効にする
    ・HTTP Server へのアクセス元を制限する

    詳しくは、参考文献にある VU#169164 をご覧ください。

詳細情報

想定される影響


遠隔の第三者によって巧妙に細工された HTTP request を受信することにより、脆弱なシステムで任意の SQL コマンドを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
OracleMetaLink Note 311536.1.(アカウントが必要)

参考情報

  1. US-CERT Vulnerability Note VU#169164
    Oracle PL/SQL Gateway fails to properly validate HTTP requests

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia