公開日:2005.04.29 19:25 最終更新日:2005.04.30 0:25

TRTA05-117A
オラクル製品に複数の脆弱性

概要


複数のオラクル製品に複数の脆弱性が確認されています。

影響を受けるシステム
- Oracle Database 10g Release 1, バージョン 10.1.0.2, 10.1.0.3, 10.1.0.3.1, 10.1.0.4 (10.1.0.3.1 は Oracle Application Server のみでサポートされています)
- Oracle9i Database Server Release 2, バージョン 9.2.0.5, 9.2.0.6
- Oracle9i Database Server Release 1, バージョン 9.0.1.4, 9.0.1.5, 9.0.4 (9.0.1.5 FIPS) (すべて Oracle Application Server のみでサポートされています)
- Oracle8i Database Server Release 3, バージョン 8.1.7.4
- Oracle Application Server 10g Release 2 (10.1.2)
- Oracle Application Server 10g (9.0.4), バージョン 9.0.4.0, 9.0.4.1
- Oracle9i Application Server Release 2, バージョン 9.0.2.3, 9.0.3.1
- Oracle9i Application Server Release 1, バージョン 1.0.2.2
- Oracle Collaboration Suite Release 2, バージョン 9.0.4.1, 9.0.4.2
- Oracle E-Business Suite and Applications Release 11i, バージョン 11.5.0 から 11.5.10
- Oracle E-Business Suite and Applications Release 11.0
- Oracle Enterprise Manager Grid Control 10g, バージョン 10.1.0.2, 10.1.0.3
- Oracle Enterprise Manager バージョン 9.0.4.0, 9.0.4.1


時系列イベント


日時 (JST)内容
2005-04-12 Oracle Critical Patch Update - April 2005 を Web 公開
2005-04-13 NGS Software Multiple High Risk Flaws Found in Oracle (2005-07-12 に脆弱性の詳細公表を提示) を Web 公開
2005-04-13 "Oracle Database Server "MDSYS.MD2.SDO_CODE_SIZE" buffer overflow Exploit" が公開される
#Cid: 20050413.OracleExploit.sql
2005-04-13 "Oracle Database PL/SQL Statement Multiple SQL Injection Exploits" が公開される
#Cid: 20050413.OracleplsqlExploit.sql
2005-04-15 オラクル Critical Patch Update - April 2005 を Web 公開
2005-04-18 Application Security, Inc. 脆弱性の詳細公表
Denial of Service in Oracle interMedia
Multiple SQL Injection vulnerabilities in DBMS_CDC_SUBSCRIBE and DBMS_CDC_ISUBSCRIBE packages
Multiple SQL Injection vulnerabilities in DBMS_METADATA package
SQL Injection in ALTER_MANUALLOG_CHANGE_SOURCE procedure
SQL Injection in CREATE_SCN_CHANGE_SET procedure
2005-04-19 08:36 "Denial of Service in Oracle interMedia" が公開される
#Cid: OraIntermediaExploit
#Last-Modified: Mon, 18 Apr 2005 23:36:35 GMT
2005-04-19 08:36 "Multiple SQL Injection vulnerabilities in DBMS_CDC_SUBSCRIBE and DBMS_CDC_ISUBSCRIBE packages" が公開される
#Cid: OraDBMS_CDC_SUBSCRIBEExploit
#Last-Modified: Mon, 18 Apr 2005 23:36:52 GMT
2005-04-19 08:37 "Multiple SQL Injection vulnerabilities in DBMS_METADATA package" が公開される
#Cid: OraDBMS_METADATAExploit
#Last-Modified: Mon, 18 Apr 2005 23:37:03 GMT
2005-04-28 04:38 US-CERT メーリングリスト経由で TA05-117A が届く
#Post-Date: Wed, 27 Apr 2005 15:38:05 -0400

参考情報


  1. Technical Cyber Security Alert TA05-117A
    Oracle Products Contain Multiple Vulnerabilities
  2. Vendor Status Note JVNTA05-117A
    オラクル製品に複数の脆弱性