セキュリティ研究者、パッチ適用済みオラクルDBに残る危険性を指摘

　Oracleの最新のアップデートを適用しても、すでに攻撃に悪用されているデータベースの脆弱性を修復できないと、セキュリティ研究者らが警鐘を鳴らしている。

　Oracleは先週、同社のソフトウェアに存在する30個以上の問題を解決するため、四半期に1度の「Oracle Critical Patch Update」を実施した。しかし、Next Generation Security Softwareの研究者であるDavid Litchfield氏は、「Oracle 10g Release 2」を対象としたアップデートは、公開されている攻撃コードの実行に悪用され得るセキュリティホールを修復するものではないとするメッセージを、米国時間4月26日にFull Disclosureのセキュリティメーリングリストへ送ったという。

　先週インターネット上で公になったこの攻撃コードは、Oracleがパッチを適用した脆弱性ではなく、新たな問題を悪用するものである。専門家らは当初、これがパッチ適用済みの脆弱性を悪用するものだと考えていた。

　Litchfield氏は、侵入者は今も、同データベース管理システム（DBMS）の拡張エクスポートに発見された新たな脆弱性を介して、システムにおける特権を奪取できる状態にあると記している。DBMSの拡張エクスポートは、これまでもたびたび問題の根源となってきた。

　Symantecは、同社の「DeepSight」インテリジェンスサービスのユーザーに対し、10gのほかのバージョンも影響を受ける可能性があると警告している。

　「データベース管理者には、この問題に対するベンダー側のパッチが提供されるまでの間、DBMSの拡張エクスポートを一般的に実行できないようにしておくことを推奨する」と、同社はアドバイスしている。

　同問題に関するOracleのコメントは得られていない。

　Litchfield氏は、Oracle 10g Release 2の問題に対する同社の対応に不満を感じているという。「当該の脆弱性は、2006年2月19日にはOracleに報告されていた」と、同氏は記している。

　Litchfield氏はまた、同問題と関連する別の欠陥の詳細についても言及している。この欠陥は、同氏みずから2004年4月にOracleに指摘したもので、Oracleはこれを解決しようと取り組んできたが、結局解決されていないという。

　セキュリティ研究者も、Oracleがセキュリティホールにパッチを適用するのが遅く、問題をうまく修復できていないことを批判している。これに対し、Oracleの最高セキュリティ責任者（CSO）Mary Ann Davidson氏は、そうしたセキュリティ研究者の存在自体が、製品セキュリティを危うくする原因となっている可能性があると反論している。