公開日:2004/09/02 最終更新日:2004/09/02

JVNTA04-245A
オラクル製品に複数の脆弱性

概要

オラクルデータベースサーバ、アプリケーションサーバ、エンタープライズマネージャに複数の脆弱性が確認されています。



影響を受けるシステム

  • Oracle Database 10g Release 1, バージョン 10.1.0.2
  • Oracle9i Database Server Release 2, バージョン 9.2.0.4 および 9.2.0.5
  • Oracle9i Database Server Release 1, バージョン 9.0.1.4, 9.0.1.5 および 9.0.4
  • Oracle8i Database Server Release 3, バージョン 8.1.7.4
  • Oracle Enterprise Manager Grid Control 10g, バージョン 10.1.0.2
  • Oracle Enterprise Manager Database Control 10g, バージョン 10.1.0.2
  • Oracle Application Server 10g (9.0.4), バージョン 9.0.4.0 および 9.0.4.1
  • Oracle9i Application Server Release 2, バージョン 9.0.2.3 および 9.0.3.1
  • Oracle9i Application Server Release 1, バージョン 1.0.2.2





詳細情報

想定される影響

データベースの情報が漏洩したり、サーバプログラムを実行しているユーザの権限を遠隔から第三者が取得したりする可能性があります。

対策方法

参考情報

  1. US-CERT Vulnerability Note VU#170830
    Oracle Enterprise Manager contains several vulnerabilities
  2. US-CERT Vulnerability Note VU#316206
    Oracle Database Server contains several vulnerabilities
  3. US-CERT Vulnerability Note VU#435974
    Oracle Application Server contains several vulnerabilities
  4. CIAC Bulletin O-209
    Oracle Database Server Vulnerabilities
  5. @police
    @police-Oracle Server製品に関するセキュリティの脆弱性
  6. ISS X-Force Database: oracle-srcqueuename-getnrp-bo (17251)
    Oracle Database Servers SRC_QUEUE_NAME parameter buffer overflow in the VERIFY_QUEUE_TYPES_GET_NRP procedure

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-3501
JPCERT/CC REPORT 2004-09-08
CERT Advisory Technical Cyber Security Alert TA04-245A
Multiple Vulnerabilities in Oracle Products
CPNI Advisory
TRnotes
CVE
JVN iPedia