公開日:2013/10/17 最終更新日:2013/10/17

JVNVU#92570654
Oracle Outside In にバッファオーバーフローの脆弱性

概要

Oracle Outside In には、Microsoft Access 1.x のデータベースファイルの解析処理にスタックバッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

Oracle Outside In を使用しているアプリケーションが本脆弱性の影響を受ける可能性があります。
詳しくは、各開発者が提供する情報をご確認ください。

詳細情報

Oracle Outside In は、500 以上のファイル形式をデコードするためのライブラリです。Oracle Outside In には、Microsoft Access 1.x のデータベースファイルの解析処理に問題があり、スタックバッファオーバーフロー (CWE-121) の脆弱性が存在します。

想定される影響

細工されたファイルを Oracle Outside In が処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
Oracle は、本脆弱性を Oracle Critical Patch Update Advisory - October 2013 で修正しています。
本脆弱性の影響を受けるアプリケーションを使用している場合、各開発者が提供する情報をもとに、対策版へアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

ベンダ情報

ベンダ リンク
Oracle Oracle Critical Patch Update Advisory - October 2013
Oracle Outside In Technology (日本語)
Oracle Outside In Technology (英語)
オラクルとStellent
Oracle and Stellent

参考情報

  1. CERT/CC Vulnerability Note VU#953241
    Oracle Outside In Microsoft Access 1.x parser stack buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-5791
JVN iPedia