gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2005-000264

Oracle 製品における Query/Where を利用した任意の SQL コマンドを実行される脆弱性

7.5
2007/04/01 00:00
CVE-2005-1178

JVNDB-2005-000264

Oracle 製品における Query/Where を利用した任意の SQL コマンドを実行される脆弱性
概要
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ Oracle Application Server 10g Release 2 v10.1.2 以前、Oracle Database 10g Release 1 v10.1.0.4 以前には、以下のような複数のセキュリティ問題が存在します。 ・Oracle Database Server の問題 - Change Data Capture の問題 (DB01、DB02) - Data Pump の問題 (DB03) - Intermedia の問題 (DB04) - Authentication の問題 (DB05) - Database SSL Library の問題 (DB06) - Internet Directory の問題 (DB07) - Spatial の問題 (DB08) - XML Database の問題 (DB09) - XDK の問題 (DB10) - HTML DB の問題 (DB11) - Oracle HTTP Server の問題 (DB12、DB13、DB14、DB15、DB16、DB17) - Oracle HTTP Server (SSL) の問題   (DB18、DB19、DB20、DB21、DB22、DB23、DB24) ・Oracle Application Server の問題 - Forms の問題 (AS01) - mod_jserv の問題 (AS02) - Oracle HTTP Server の問題 (AS03、AS04、AS05、AS06、AS07、AS08、AS09) - Oracle Help の問題 (AS10) - Oracle HTTP Server (SSL) の問題   (AS11、AS12、AS13、AS14、AS15、AS16、AS17) - Wireless の問題 (AS18) Oracle より問題が公表された 2005 年 4 月 13 日現在、これらの問題の多くは詳細不明ですが、リモート/ローカルの攻撃者は、セキュリティ脅威を引き起こす可能性があります。 ただし、Forms の問題 (AS01) に関しては、発見元である Red Database Security より詳細情報が公開されています。 開発ツール Oracle Forms における SQL インジェクションの問題を利用することにより、DBA 権限を有する悪意あるローカルユーザは、Oracle Forms を使用して任意のデータベース内のデータ操作を実行できる可能性があります。 尚、Oracle 社では、上記 Oracle Application Server および Oracle Database Server のセキュリティ問題の他に、以下の製品の問題を併せて報告しています。 ・Oracle Collaboration Suite ・Oracle E-Business and Applications ・Oracle Enterprise Manager Grid Control ・Oracle PeopleSoft Applications
想定される影響と対策
本脆弱性に伴う影響については、「概要」をご参照ください。
JVNDB-2005-000264は、ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v3の値
深刻度7.5N/A
CVECVE-2005-1178
公表日2005/04/13 00:00
登録日2007/04/01 00:00
更新日2007/04/01 00:00
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。