Oracleに任意コマンドを実行可能な脆弱性 27
ストーリー by GetSet
地味ながら深刻な穴 部門より
地味ながら深刻な穴 部門より
oddmake 曰く、 "eWeek記事によると、 ドイツのOracleセキュリティ専門会社Red-Database-Security GmbH は、7/19にOracleの未パッチの脆弱性6個について公表した 。 そのうち特に深刻なものはOracle Reportsの脆弱性 およびOracle Formsの脆弱性で、任意のOSのコマンドの実行を可能にするというもの。 Oracle FormsおよびOracle Reportsを使用しているサーバは悪意の人物によりのっとられる危険があるそうである。"
問題はレガシーシステムだけかな (スコア:1)
今どきOracle Reports, Formesなんて使っているのは実質的に前世紀に作られた社内向けシステムだけでしょうから, 外部からのアタックについてはそれほど気にしなくても良いのではないでしょうか.
社内のネットワークからのアタックについては, 通常のネットワーク監査に準じた対応で防げそうな気がしますけど.
いつも思うけど・・・ (スコア:0)
それを埋めるためのモジュール提供もわりと早いので感心します
Oracleからのパッチ提供 (スコア:2, 参考になる)
今回は残念ながらそうとばかりも言えないようで。
たれこみ記事のリンク先にありますがReportsの脆弱性は663日前、Formsの脆弱性は664日前にOracleにInitial Reportをあげたようなのです。
>It seems that Oracle is NOT INTERESTED to fix this issue and provide patches.
Oracleはパッチをあてる気がないみたいだな、なんていわれています。
/.configure;oddmake;oddmake install
Re:Oracleからのパッチ提供 (スコア:0)
Re:Oracleからのパッチ提供 (スコア:0)
「Oracleはセキュリティに対する事を他社より最優先でやってる」
ってラリーが言ってた事に対する皮肉でしょ。
Unbreakableキャンペーンが終了したらセキュリティも終了してた
とは誰も思わないからw
Re:Oracleからのパッチ提供 (スコア:0)
今回の場合はフェータルなので修正パッチが出たのでしょうけど、
明らかに論理的におかしな問題を指摘したら「仕様です」といわれた…orz
まぁ、回避可能で全くフェータルじゃなかったんですけどね。
Oracle9iASにはいぢめられたのでAC
みなさん、パッチあててます? (スコア:0)
危険性も(限定的ではあるが)ベンダよりアナウンスされていた。
クラッカーにやられた。
(個人情報、クレジットカード情報を大量に抜かれた。)
さて、誰の責任?
末端のシステム運用管理者の責任ですか?
そうですか。
死んでやるぅ!(涙)
#ってか、基幹系システムに4半期毎にパッチあててる人います?
#また、Oracle社から出ているRiskMatrixでSQL Injectionがある
#かどうか知っている人います?
#カカクコムは・・・関係ないですよね?
#システム止めるとお客さん怒るし、パッチあてて不具合出ると怒るし・・・あーもー
Re:みなさん、パッチあててます? (スコア:1)
そこで死んだら、本当にあなたの責任にされちゃいますよ。
基本的にすべて上司の責任だって解釈して生きていくと少し気楽です。
Re:みなさん、パッチあててます? (スコア:1, おもしろおかしい)
Re:みなさん、パッチあててます? (スコア:1)
で、ご理解いただければパッチをあてると。
否定または無視されたならば、それを論拠としてパッチあてしなければいいかと。
Re:みなさん、パッチあててます? (スコア:0)
Oracleのセキュリティ対策は、昔からお寒い限りだしね。
#Oracle社も、もっとMicrosoftを見習ってくれないかなぁ。
Re:みなさん、パッチあててます? (スコア:1, 興味深い)
私が仕事をした限りでもOracleは出来る限り隠蔽する構成を組むようにしていますが、対外的にOracleは「セキュリティは万全」を標榜しているだけにお客様からは「なんで?」って質問されることが多いですね。
特に業務系の方はOracle信者さんが多いですし。
さておき・・・ (スコア:0)
#また、Oracle社から出ているRiskMatrixでSQL Injectionがある
#かどうか知っている人います?
#カカクコムは・・・関係ないですよね?
#システム止めるとお客さん怒るし、パッチあてて不具合出ると怒るし・・・あーもー
基本的に、導入されるシステムは同じものが2つあるものです。
Re:さておき・・・ (スコア:0)
APについてはテストパターンをきっちり作れますが、PPはブラックボックスなので、ブラックボックステストのパターンしか網羅できません。したがって、「PP内部では実は限界値になっていて、しかも扱いが
Re:さておき・・・ (スコア:0)
つーか、した
# どの会社かバレる気がするけどAC
Re:みなさん、パッチあててます? (スコア:0, フレームのもと)
>末端のシステム運用管理者の責任ですか?
OSのパッチ適用をオファーして、無視された無視。
そのオファーを無視して、食われたら「オファーしたんですけどぇ」で10年以上飯をくっている末端のシステム運用管理者もいるわけだ。
>システム止めるとお客さん怒るし、パッチあてて不具合出ると怒るし・・・あーもー
SLAとかで「パッチのオファーはするよ、でも拒絶したらしらね」ってなのを書いておくだよ。でも
Re:みなさん、パッチあててます? (スコア:1, すばらしい洞察)
SLAとかで「パッチのオファーはするよ、でも拒絶したらしらね」ってなのを書いておくだよ
それが真っ当に通るお客様なら、パッチを拒絶したまま放置なんていうお馬鹿な状況には陥らないと思います。
裏を返せば、実際に攻撃されて実害が出てはじめて騒ぎはじめ、「なんでパッチを適用しなかったんだ!SLAが何だ、製造物責任法で訴えるぞ!」と癇癪を起こすお客様ほどパッチ無視の傾向が強いです。
Re:みなさん、パッチあててます? (スコア:0)
その際は、「適用検証を行って報告すること」って書き足されるだけだよ。
#そもそも、そんなレベルはSLAとは言わないし
あんたが相手してるような生ぬるい客が標準だと思わない方がいいよ。
Re:みなさん、パッチあててます? (スコア:1)
有償で..を書き足すわけですが...;-)
Re:みなさん、パッチあててます? (スコア:0)
# あ?調べる量が多すぎて割に合わない?そんなもんを勧めるのかおたくは
Re:みなさん、パッチあててます? (スコア:0)
これキツイんだよねぇ。
適用可否の判定フローってうまく確立できなくて・・・。
保守費とのバランスも含めて、しっかり考えなきゃいかんね。
13日に (スコア:0)
日本語がなあ(スコア:-一万五千) (スコア:0)
ってのは変だ。
悪意を持った人物だろう。
略すなら悪人だ。
中途半端は良くない。
Re:日本語がなあ(スコア:-一万五千) (スコア:0)
Re:日本語がなあ(スコア:-一万五千) (スコア:0)
Re:日本語がなあ(スコア:-一万五千) (スコア:0)
だな。内部犯行ならまた別の話としなきゃやってられねぇ。
セキュリティホールが何だ!? (スコア:0)