公開日:2011/04/20 最終更新日:2011/04/20

JVNVU#520721
Oracle Outside In に任意のコードが実行される脆弱性

概要

Oracle Outside In には、Lotus 123 および Microsoft CAB ファイルの解析処理に脆弱性が存在します。

影響を受けるシステム

  • Oracle Outside In Technology 8.3.2.0
  • Oracle Outside In Technology 8.3.5.0
Oracle Outside In を使用しているアプリケーションも本脆弱性の影響を受ける可能性があります。詳しくは、各開発者が提供する情報をご確認ください。

詳細情報

Oracle Outside In は、500 以上のファイル形式をデコードするためのライブラリです。Oracle Outside In には、Lotus 123 および Microsoft CAB ファイルの解析処理に脆弱性が存在します。

想定される影響

細工されたファイルを Oracle Outside In が処理した際に、遠隔の第三者によって、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
Oracle Outside In を実装しているアプリケーションの開発者が提供する情報をもとに最新版にアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。

  • Enhanced Mitigation Experience Toolkit (EMET) を利用する

ベンダ情報

ベンダ リンク
Oracle Oracle Critical Patch Update Advisory - April 2011
Oracle Outside In Technology (日本語)
Oracle Outside In Technology (英語)
オラクルとStellent
Oracle and Stellent
Oracle Support Note 1291877.1 (登録ユーザのみ)

参考情報

  1. US-CERT Vulnerability Note VU#520721
    Oracle Outside In contains exploitable vulnerabilities in Lotus 123 and Microsoft CAB file parsers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0794
CVE-2011-0808
JVN iPedia