Oracle 11g DatabaseにIDやパスワードなしでリモートからコードを実行する脆弱性があると、英Next Generation Security Software (NGSSoftware)の研究者David Litchfield氏が報告している。英Reutersなどが2月3日に報じている。
これは、米ワシントンD.C.郊外のバージニア州アーリントンで開催されていたBlack Hat Conferenceにおいて、Litchfield氏が同日に自身の講演で発表したもの。米Computerworldの記事によれば、Oracle 11g Release 2のJava実装上の問題で、Oracle Label Securityなどのセキュリティ機構をバイパスして、権限関係なしにリモートコードが実行できる可能性があるという。これにより、権限の低いユーザーであってもデータベースのすべてを管理下に置くことが可能だということだ。同氏によれば、10台中9台のDBが同様の問題を抱えている可能性があり、対策としては特定のJava機能に対して外部からの実行を無効化するしかないようだ。
同氏は11月時点で同問題をOracleに報告したものの、1月の定例アップデートでも対策が行われなかったため、Black Hatでの公開に踏み切ったという。