パスワードを忘れた? アカウント作成
10524 story

Oracleに任意コマンドを実行可能な脆弱性 27

ストーリー by GetSet
地味ながら深刻な穴 部門より

oddmake 曰く、 "eWeek記事によると、 ドイツのOracleセキュリティ専門会社Red-Database-Security GmbH は、7/19にOracleの未パッチの脆弱性6個について公表した 。 そのうち特に深刻なものはOracle Reportsの脆弱性 およびOracle Formsの脆弱性で、任意のOSのコマンドの実行を可能にするというもの。 Oracle FormsおよびOracle Reportsを使用しているサーバは悪意の人物によりのっとられる危険があるそうである。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 今どきOracle Reports, Formesなんて使っているのは実質的に前世紀に作られた社内向けシステムだけでしょうから, 外部からのアタックについてはそれほど気にしなくても良いのではないでしょうか.

    社内のネットワークからのアタックについては, 通常のネットワーク監査に準じた対応で防げそうな気がしますけど.

  • by Anonymous Coward on 2005年07月20日 16時10分 (#769564)
    脆弱性を発見する人(組織)ってすごいなと思い
    それを埋めるためのモジュール提供もわりと早いので感心します
    • by oddmake (1445) on 2005年07月20日 16時22分 (#769570) 日記
      >それを埋めるためのモジュール提供もわりと早いので感心します

      今回は残念ながらそうとばかりも言えないようで。
      たれこみ記事のリンク先にありますがReportsの脆弱性は663日前、Formsの脆弱性は664日前にOracleにInitial Reportをあげたようなのです。

      >It seems that Oracle is NOT INTERESTED to fix this issue and provide patches.

      Oracleはパッチをあてる気がないみたいだな、なんていわれています。
      --
      /.configure;oddmake;oddmake install
      親コメント
      • ただの皮肉だったりして……? >元レス
        • 昔Unbreakableとかスローガン挙げて
          「Oracleはセキュリティに対する事を他社より最優先でやってる」
          ってラリーが言ってた事に対する皮肉でしょ。

          Unbreakableキャンペーンが終了したらセキュリティも終了してた
          とは誰も思わないからw
      • あそこの会社なんか「仕様です」の一言で終わることもあるような…
        今回の場合はフェータルなので修正パッチが出たのでしょうけど、
        明らかに論理的におかしな問題を指摘したら「仕様です」といわれた…orz
        まぁ、回避可能で全くフェータルじゃなかったんですけどね。

        Oracle9iASにはいぢめられたのでAC
  • by Anonymous Coward on 2005年07月20日 16時32分 (#769578)
    パッチは提供されている。
    危険性も(限定的ではあるが)ベンダよりアナウンスされていた。

    クラッカーにやられた。
    (個人情報、クレジットカード情報を大量に抜かれた。)

    さて、誰の責任?

    末端のシステム運用管理者の責任ですか?
    そうですか。

    死んでやるぅ!(涙)

    #ってか、基幹系システムに4半期毎にパッチあててる人います?
    #また、Oracle社から出ているRiskMatrixでSQL Injectionがある
    #かどうか知っている人います?
    #カカクコムは・・・関係ないですよね?
    #システム止めるとお客さん怒るし、パッチあてて不具合出ると怒るし・・・あーもー

    • > 死んでやるぅ!(涙)

      そこで死んだら、本当にあなたの責任にされちゃいますよ。
      基本的にすべて上司の責任だって解釈して生きていくと少し気楽です。
      親コメント
    • パッチをあてないことによるリスクと、あてることによるリスクを上司に説明すればいいんじゃないですか。
      で、ご理解いただければパッチをあてると。
      否定または無視されたならば、それを論拠としてパッチあてしなければいいかと。
      親コメント
    • Oracleで組んだシステムをインターネットに晒すのが、そもそもの間違い。
      Oracleのセキュリティ対策は、昔からお寒い限りだしね。
      #Oracle社も、もっとMicrosoftを見習ってくれないかなぁ。
      • by Anonymous Coward on 2005年07月20日 22時37分 (#769757)

        私が仕事をした限りでもOracleは出来る限り隠蔽する構成を組むようにしていますが、対外的にOracleは「セキュリティは万全」を標榜しているだけにお客様からは「なんで?」って質問されることが多いですね。
        特に業務系の方はOracle信者さんが多いですし。

        親コメント
    • by Anonymous Coward
      #ってか、基幹系システムに4半期毎にパッチあててる人います?
      #また、Oracle社から出ているRiskMatrixでSQL Injectionがある
      #かどうか知っている人います?
      #カカクコムは・・・関係ないですよね?
      #システム止めるとお客さん怒るし、パッチあてて不具合出ると怒るし・・・あーもー

      基本的に、導入されるシステムは同じものが2つあるものです。
      • by Anonymous Coward
        脳内ですか?

        APについてはテストパターンをきっちり作れますが、PPはブラックボックスなので、ブラックボックステストのパターンしか網羅できません。したがって、「PP内部では実は限界値になっていて、しかも扱いが
        • by Anonymous Coward
          うちの会社では、パッチで変なバグがたくさん出る、そもそもバグってる等により、ソースコードをもらって自分でメンテするになりました・・・
          つーか、した

          # どの会社かバレる気がするけどAC
    • Oracle関係はアプリ系保守の担当ってことで...

      >末端のシステム運用管理者の責任ですか?

      OSのパッチ適用をオファーして、無視された無視。
      そのオファーを無視して、食われたら「オファーしたんですけどぇ」で10年以上飯をくっている末端のシステム運用管理者もいるわけだ。

      >システム止めるとお客さん怒るし、パッチあてて不具合出ると怒るし・・・あーもー

      SLAとかで「パッチのオファーはするよ、でも拒絶したらしらね」ってなのを書いておくだよ。でも
      • by Anonymous Coward on 2005年07月21日 8時50分 (#769900)

        SLAとかで「パッチのオファーはするよ、でも拒絶したらしらね」ってなのを書いておくだよ

        それが真っ当に通るお客様なら、パッチを拒絶したまま放置なんていうお馬鹿な状況には陥らないと思います。

        裏を返せば、実際に攻撃されて実害が出てはじめて騒ぎはじめ、「なんでパッチを適用しなかったんだ!SLAが何だ、製造物責任法で訴えるぞ!」と癇癪を起こすお客様ほどパッチ無視の傾向が強いです。

        親コメント
      • >SLAとかで「パッチのオファーはするよ、でも拒絶したらしらね」ってなのを書いておくだよ。

        その際は、「適用検証を行って報告すること」って書き足されるだけだよ。
          #そもそも、そんなレベルはSLAとは言わないし
        あんたが相手してるような生ぬるい客が標準だと思わない方がいいよ。
  • by Anonymous Coward on 2005年07月20日 17時41分 (#769616)
    累積パッチでたけどそれで対応されてないの?これ
  • by Anonymous Coward on 2005年07月20日 21時15分 (#769718)
    >悪意の人物
    ってのは変だ。
    悪意を持った人物だろう。
    略すなら悪人だ。
    中途半端は良くない。
  • by Anonymous Coward on 2005年07月21日 21時46分 (#770138)
    所詮、Oracleを初期パスワードで動かしているユーザーには関係のないことだ。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...