セキュリティ

SECURITY

公開：2024-10-31

【CVE-2024-21195】Oracle BI Publisher 7.0-12.2に重大な脆弱性、情報漏洩やDoS攻撃のリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Oracle BI Publisherに複数の深刻な脆弱性が発見
• 情報漏洩やDoS攻撃のリスクが判明
• 複数バージョンが影響を受け早急な対応が必要

Oracle BI Publisher 7.0-12.2の重大な脆弱性

オラクル社は複数のバージョンのOracle BI Publisherに深刻な脆弱性が発見されたことを2024年10月15日に公開した。この脆弱性は【CVE-2024-21195】として識別されており、CVSS v3による基本値は7.6と重要度が高く評価されている。^[1]

影響を受けるバージョンはOracle BI Publisher 7.0.0.0.0、7.6.0.0.0、12.2.1.4.0であり、攻撃者による情報の取得や改ざん、サービス運用妨害などのリスクが指摘されている。脆弱性の特徴として攻撃元区分がネットワークであり、攻撃条件の複雑さが低く設定されていることから、早急な対策が必要とされている。

オラクル社はこの脆弱性に対する正式な対策パッチをOracle Critical Patch Update Advisory - October 2024で公開しており、影響を受けるバージョンのユーザーに対して早急な適用を推奨している。特に機密性への影響が高く評価されていることから、セキュリティ管理者は速やかな対応が求められている。

Oracle BI Publisherの脆弱性詳細

CVSSについて

CVSSとは「Common Vulnerability Scoring System」の略称で、情報システムの脆弱性の深刻度を評価するための国際標準規格である。主な特徴として、以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性を評価
• 攻撃の容易さや影響範囲を複数の指標で数値化
• 組織間で統一された評価基準として活用可能

Oracle BI Publisherの脆弱性はCVSS v3で7.6という高い深刻度が評価されており、特に機密性への影響が高く設定されている。この評価は攻撃条件の複雑さが低く、特権レベルも低いため、比較的容易に攻撃が実行できる可能性を示している。

Oracle BI Publisherの脆弱性に関する考察

Oracle BI Publisherの脆弱性対策として正式なパッチが公開されたことは評価できるが、複数のバージョンが影響を受けていることから、組織全体での包括的な対応が必要となるだろう。特に機密性への影響が高く評価されていることから、情報漏洩のリスクを重視した優先的な対応が求められる。

今後の課題として、パッチ適用による既存システムへの影響評価や、適用作業の計画立案が挙げられる。特に基幹システムとして利用している環境では、システム停止時間の最小化と確実な適用作業の実施が重要となってくるだろう。

長期的な対策としては、脆弱性情報の監視体制の強化や、定期的なセキュリティアセスメントの実施が望まれる。特にBI Publisherのような重要なビジネスインテリジェンスツールについては、セキュリティ対策の優先度を上げて管理していく必要があるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-011525 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011525.html, (参照 24-10-31).
2. Oracle. https://www.oracle.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧