［米国］
オラクルが公表した最新セキュリティ・バグの実証コードが早くも登場

（2005年10月21日）

　セキュリティ・メーリング・リストのFull Disclosureで10月20日、米オラクルのデータベースの特定のバージョンにあるバッファ・オーバーフローのセキュリティ・バグの実証コードが公開された。オラクルは今週、同社製品の89件のセキュリティ・バグに対応したパッチ集をリリースしており、このバッファ・オーバーフローのセキュリティ・バグは、同パッチ集の適用で修正されるセキュリティ・バグの1つ。

　独レッドデータベースセキュリティのビジネス・ディレクター、アレクサンダー・コーンブラスト氏によると、この実証コードでは、SQLインジェクションによってデータベースをダウンさせる攻撃を行うことが可能。SQLインジェクションは、データベースをバックエンドに持つWebアプリケーションにSQL言語を使った不正なデータベース・クエリを発行させる攻撃手法だ。

　コーンブラスト氏によると、この実証コードは、パッチが適用されていないデータベースのユーザー資格情報を持つ攻撃者に悪用されたり、外部の攻撃者にインターネット経由のSQLインジェクション攻撃で悪用される可能性がある。「試したところ、実証コードは有効に機能する。オラクルのパッチ集をできるだけ早急に適用することを顧客に強く勧めている」（同氏）

　コーンブラスト氏によると、オラクルは、Full Disclosureで実証コードが公開されたセキュリティ・バグがあるのはOracle 9i、Oracle 10gだが、このコードの影響を受けるのは10gのユーザーに限られるとしている。

　オラクルのパッチ集は18日にリリースされたもので、同社のデータベースとアプリケーション・サーバ、ピープルソフト部門やJ.D.エドワーズ部門のアプリケーションにある89件のバグが対象。オラクルはセキュリティ・アップデート・プログラムの一環として3カ月(四半期）ごとにセキュリティ・パッチ集をリリースしている。

　通常、オラクルがセキュリティ・パッチ集をリリースするたびにいくつかの実証コードが出回る、とコーンブラスト氏は話している。

(Originally reported by Robert McMillan, IDG News Service 10/20/2005)