【 ここから本文 】
- TOP
- > Topics : データベース
- >
データベース
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
オラクル、41件のセキュリティ修正パッチをリリース
リモート実行を許可する脆弱性にも対応、専門家は「早急に適用を」と呼びかけ
(2008年04月16日)
米国Oracleは4月15日、同社のデータベースおよびアプリケーション・サーバ製品で発見された41件の脆弱性を修正する、セキュリティ修正パッチ「CPU(Critical Patch Update)」をリリースした。
同社は、CPUを四半期ごとに定期的にリリースしている。今回、CPUの対象となった製品は、「Oracle Database」「Application Server」「Collaborative Suite」「E-Business Suite and Applications」「Enterprise Manager」「PeopleSoft/JD Edwards EnterpriseOne」「Oracle Siebel Enterprise」で、そのうちDatabase向けのCPUは、17件となっている。
データベース・セキュリティ・ベンダーの米国SentrigoでCTOを務めるスラヴィク・マルコビッチ(Slavik Markovich)氏は、「今回のDatabase向けCPUを適用しない場合、SQLインジェクションの攻撃に遭う可能性がある」と指摘する。
「(データベースに備わっている)Advanced Queuingを対象にしたSQLインジェクション攻撃が成功すれば、データベース内の情報を盗まれる可能性がある」(Markovich氏)
ちなみにAdvanced Queuingを対象にしたセキュリティ修正パッチは、2件となっている。
過去のセキュリティ修正パッチ件数を見ると、昨年10月にリリースされたセキュリティ修正パッチは51件、今年1月にリリースされたセキュリティ修正パッチは27件と、件数に“ムラ”がある。
この点についてMarkovich氏は、「データベースには多数のモジュールと膨大な行数のコードが含まれている。過去に多数の脆弱性を修正したからといって(脆弱性が)時間の経過とともに減少することはない。今後も現在と同じようなペースで、セキュリティ修正パッチはリリースされるだろう」と指摘した。
また同氏は堅牢なデータベースを構築する手段として、「利用しないモジュールは、最初からインストールしないこと」を挙げる。
「不要なモジュールがデータベースにあれば、それだけ攻撃対象領域が広がるのだ」(Markovich氏)
一方、E-Business Suiteと関連アプリケーション向けには11件のセキュリティ修正パッチがリリースされているが、そのうち7件は、許可のないリモートからの実行を許す脆弱性に対応するものだという。
また、Application Server向けのセキュリティ修正パッチは3件で、こちらもE-Business Suiteの脆弱性と同様、許可のないリモートからの実行を許す脆弱性に対応するものだという。
なお今回のCPUに関する詳細は、オラクルのWebサイトに報告されている。
(John Brodkin/Network World米国版)
「値引き交渉の場では、相手の弱点をうまく突くべし」――コンサルタントがアドバイス
[米国]Oracle、バグ・フィックス27件を含むセキュリティ・パッチをリリース
Oracle DBなど多様な製品が対象。「早急に適用する必要がある」とアナリスト
[世界]50万台のDBサーバがファイアウォールを未搭載――専門家の調査で判明
アクセス可能なSQL Serverは37万台、Oracle DBは12万台超
