編集部からのお知らせ
新着PDF集:データセンターの省電力化
「これからの企業IT」の記事はこちら

セキュリティ研究者、パッチ適用済みオラクルDBに残る危険性を指摘

文:Dawn Kawamoto(CNET News.com) 翻訳校正:尾本香里(編集部)

2006-04-27 12:41

 Oracleの最新のアップデートを適用しても、すでに攻撃に悪用されているデータベースの脆弱性を修復できないと、セキュリティ研究者らが警鐘を鳴らしている。

 Oracleは先週、同社のソフトウェアに存在する30個以上の問題を解決するため、四半期に1度の「Oracle Critical Patch Update」を実施した。しかし、Next Generation Security Softwareの研究者であるDavid Litchfield氏は、「Oracle 10g Release 2」を対象としたアップデートは、公開されている攻撃コードの実行に悪用され得るセキュリティホールを修復するものではないとするメッセージを、米国時間4月26日にFull Disclosureのセキュリティメーリングリストへ送ったという。

 先週インターネット上で公になったこの攻撃コードは、Oracleがパッチを適用した脆弱性ではなく、新たな問題を悪用するものである。専門家らは当初、これがパッチ適用済みの脆弱性を悪用するものだと考えていた。

 Litchfield氏は、侵入者は今も、同データベース管理システム(DBMS)の拡張エクスポートに発見された新たな脆弱性を介して、システムにおける特権を奪取できる状態にあると記している。DBMSの拡張エクスポートは、これまでもたびたび問題の根源となってきた。

 Symantecは、同社の「DeepSight」インテリジェンスサービスのユーザーに対し、10gのほかのバージョンも影響を受ける可能性があると警告している。

 「データベース管理者には、この問題に対するベンダー側のパッチが提供されるまでの間、DBMSの拡張エクスポートを一般的に実行できないようにしておくことを推奨する」と、同社はアドバイスしている。

 同問題に関するOracleのコメントは得られていない。

 Litchfield氏は、Oracle 10g Release 2の問題に対する同社の対応に不満を感じているという。「当該の脆弱性は、2006年2月19日にはOracleに報告されていた」と、同氏は記している。

 Litchfield氏はまた、同問題と関連する別の欠陥の詳細についても言及している。この欠陥は、同氏みずから2004年4月にOracleに指摘したもので、Oracleはこれを解決しようと取り組んできたが、結局解決されていないという。

 セキュリティ研究者も、Oracleがセキュリティホールにパッチを適用するのが遅く、問題をうまく修復できていないことを批判している。これに対し、Oracleの最高セキュリティ責任者(CSO)Mary Ann Davidson氏は、そうしたセキュリティ研究者の存在自体が、製品セキュリティを危うくする原因となっている可能性があると反論している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]