JVNVU#95592853
Oracle Outside In 8.5.2 にスタックバッファオーバーフローの脆弱性

Oracle Outside In 8.5.2 およびそれ以前のバージョンには、WK4、Doc、Paradox DB ファイルのパーサに、スタックバッファオーバフローの脆弱性が存在します。この脆弱性により、遠隔の攻撃者によって、脆弱なシステム上で任意のコードを実行される可能性があります。

• Oracle Outside In 8.5.2 およびそれ以前

Oracle Outside In は 500 以上の異なるファイル形式をデコードできるライブラリです。もともと Stellent 社によって開発された Outside In は、現在、Oracle の一製品となっています。Oracle Outside In ライブラリはさまざまなアプリケーションで利用されており、代表的なソフトウェアには、Microsoft Exchange、Google Search Appliance、Oracle Fusion Middleware、Guidance Encase Forensics、AccessData FTK、Novell Groupwise などがあります。

スタックバッファオーバーフロー (CWE-121) - CVE-2015-6013, CVE-2015-6014, CVE-2015-6015
Outside In のライブラリのうち、WK4, Doc, Paradox DB ファイルを処理するライブラリには、スタックバッファオーバーフローの脆弱性が存在します。Oracle ID と CVE の対応は次の通りです。

• S0618114 - CVE-2015-6013: Oracle Outside In 8.5.2 WK4 stack buffer overflow
• S0618133 - CVE-2015-6014: Oracle Outside In 8.5.2 DOC stack buffer overflow
• S0618122 - CVE-2015-6015: Oracle OIT 8.5.2 Paradox DB stack buffer overflow

Oracle Outside In ライブラリを使用するアプリケーションに細工したファイルを処理させることで、遠隔の攻撃者は、脆弱なアプリケーションの実行権限で任意のコードを実行できる可能性があります。Outside In を使用するアプリケーションにもよりますが、コード実行は、アプリケーションのユーザが積極的に関わることで行われることもあれば（ユーザがファイルをクリックするなど）、ユーザの関与なしに行われることも考えられます。

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は、Oracle Critical Patch Update Advisory - January で提供される Oracle Fusion Middleware で修正されています。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• Microsoft Enhanced Mitigation Experience Toolkit (EMET) を適用する