Oracle DBのTNSリスナーに、認証なしでサービスを登録される脆弱性(JVN) | ScanNetSecurity
2026.01.09(金)

Oracle DBのTNSリスナーに、認証なしでサービスを登録される脆弱性(JVN)

IPAおよびJPCERT/CCは、Oracle Corporation が提供するOracleデータベースコンポーネントの「TNSリスナー」に、遠隔の第三者が認証なしにデータベースサービスを登録できる脆弱性が存在するとJVNで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
77 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は5月2日、Oracle Corporation が提供するOracleデータベース(DB)コンポーネントの「TNSリスナー」に遠隔の第三者が認証なしにデータベースサービスを登録できる脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。

影響を受けるシステムは、「Oracle Database 11g Release 2、versions 11.2.0.2、11.2.0.3」「Oracle Database 11g Release 1、version 11.1.0.7」「Oracle Database 10g Release 2、versions 10.2.0.3、10.2.0.4, 10.2.0.5」。またOracleによると、Oracle データベースコンポーネントを含む「Oracle Fusion Middleware」「Oracle Enterprise Manager」「Oracle E-Business Suite」も影響を受けるとしている。本脆弱性(CVE-2012-1675)が悪用されると、リモートの攻撃者によって登録済みのデータベースインスタンス名を使ってサービスを登録され、中間者攻撃を受ける可能性がある。現時点で対策方法は公開されておらず、JVNでは「Class of Secure Transport(COST)を使用してインスタンス登録を制限することで、本脆弱性の影響を軽減することが可能としている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 埼玉大学で在学生 8,373 名の学籍番号及び GPA 等を含む個人情報が閲覧可能に

    埼玉大学で在学生 8,373 名の学籍番号及び GPA 等を含む個人情報が閲覧可能に

  2. 人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

    人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

  3. 美容品取り扱い「クレイツ公式オンラインショップ」に不正アクセス、4,583名のカード情報漏えい

    美容品取り扱い「クレイツ公式オンラインショップ」に不正アクセス、4,583名のカード情報漏えい

  4. NTTデータが GSX とセキュリティ人材育成講座の販売代理店契約締結

    NTTデータが GSX とセキュリティ人材育成講座の販売代理店契約締結

  5. 相場操縦の嫌疑 ~ 証券取引等監視委員会、株式会社L&H と同社代表取締役を東京地方検察庁に告発

    相場操縦の嫌疑 ~ 証券取引等監視委員会、株式会社L&H と同社代表取締役を東京地方検察庁に告発

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP