製品・ソフトウェアに関する情報

JVN脆弱性詳細

Oracle Outside In に任意のコードが実行される脆弱性

Title	Oracle Outside In に任意のコードが実行される脆弱性
Summary	Oracle Outside In には、CorelDRAW ファイルの解析処理に脆弱性が存在します。 Oracle Outside In は、500 以上のファイル形式をデコードするためのライブラリです。Oracle Outside In には、CorelDRAW ファイルの解析処理に脆弱性が存在します。
Possible impacts	細工されたファイルを Oracle Outside In が処理した際に、遠隔の第三者によって、ユーザの権限で任意のコードを実行される可能性があります。
Solution	[アップデートする] Oracle Outside In を実装しているアプリケーションの開発者が提供する情報をもとに最新版にアップデートしてください。 [ワークアラウンドを実施する] 以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。 * Enhanced Mitigation Experience Toolkit (EMET) を利用する
Publication Date	July 19, 2011, midnight
Registration Date	Aug. 1, 2011, 11:43 a.m.
Last Update	Feb. 21, 2014, 6:10 p.m.

Affected System

オラクル

Oracle Fusion Middleware Outside In Technology 8.3.2.0

Oracle Fusion Middleware Outside In Technology 8.3.5.0

IBM

IBM WebSphere Portal 6.0.0.1 未満の 6.0.0

IBM WebSphere Portal 6.0.1

IBM WebSphere Portal 6.1.0.6 CF27 未満の 6.1.0

IBM WebSphere Portal 6.1.5.3 CF27 未満の 6.1.5

IBM WebSphere Portal 7.0.0.2 CF25 未満の 7

IBM WebSphere Portal 8.0.0.1 CF08 未満の 8

シマンテック

Symantec Enterprise Vault API 6.x、7.x、2007.x、8.x、9.x、および 10.0

Symantec Enterprise Vault for File System Archiving 6.x、7.x、2007.x、8.x、9.x、および 10.0

Symantec Enterprise Vault for Lotus Domino 6.x、7.x、2007.x、8.x、9.x、および 10.0

Symantec Enterprise Vault for Microsoft Exchange 6.x、7.x、2007.x、8.x、9.x、および 10.0

Symantec Enterprise Vault for Microsoft SharePoint 6.x、7.x、2007.x、8.x、9.x、および 10.0

Symantec Enterprise Vault for SMTP 6.x、7.x、2007.x、8.x、9.x、および 10.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-2264	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2264
National Vulnerability Database (NVD)
2	CVE-2011-2264	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2264

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
IBM Support Document
1	1660640	http://www-01.ibm.com/support/docview.wss?uid=swg21660640
IBM セキュリティー情報
2	1660774	http://www-01.ibm.com/support/docview.wss?uid=swg21660774
Oracle
3	Oracle and Stellent	http://www.oracle.com/us/corporate/Acquisitions/stellent/index.html
4	Oracle Outside In Technology (英語)	http://www.oracle.com/us/technologies/embedded/025613.htm
Oracle Critical Patch Update
5	Oracle Critical Patch Update Advisory - July 2011	http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
Oracle JAPAN
6	Oracle Outside In Technology (日本語)	http://www.oracle.com/jp/technologies/embedded/outside-in-151817-ja.html
7	Oracle Support Note 1323616.1 (登録ユーザのみ)	http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1323616.1
8	オラクルとStellent	http://www.oracle.com/jp/corporate/product-announcements/stellent-151811-ja.html
SECURITY BLOG
9	july_2011_critical_patch_update	http://blogs.oracle.com/security/entry/july_2011_critical_patch_update
Symantec Security Advisory
10	SYM11-011	http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110901_00
シマンテックセキュリティ・アドバイザリー
11	SYM11-011	http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110901_00
富士通セキュリティ情報
12	TA11-201A	http://software.fujitsu.com/jp/security/vulnerabilities/ta11-201a.html

その他

No	Name	URL
JVN
1	JVNTA11-201A	http://jvn.jp/cert/JVNTA11-201A
2	JVNVU#103425	http://jvn.jp/cert/JVNVU103425
US-CERT Technical Cyber Security Alert
3	TA11-201A	http://www.us-cert.gov/cas/techalerts/TA11-201A.html
US-CERT Vulnerability Note
4	VU#103425	http://www.kb.cert.org/vuls/id/103425

Change Log

No	Changed Details	Date of change
0	[2011年08月01日] 掲載 [2012年08月01日] 影響を受けるシステム：シマンテック (SYM11-011) の情報を追加ベンダ情報：シマンテック (SYM11-011) を追加 [2014年02月21日] 影響を受けるシステム：IBM (1660640) の情報を追加ベンダ情報：IBM (1660640) を追加ベンダ情報：IBM (1660774) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-2264

Summary	Unspecified vulnerability in the Oracle Outside In Technology component in Oracle Fusion Middleware 8.3.2.0 and 8.3.5.0 allows context-dependent attackers to affect confidentiality, integrity, and availability via unknown vectors related to Outside In Filters. NOTE: the previous information was obtained from the July 2011 CPU. Oracle has not commented on claims from a reliable third party that this is a stack-based buffer overflow in the imcdr2.flt library for the CorelDRAW parser.
Publication Date	July 21, 2011, 9:55 a.m.
Registration Date	Jan. 28, 2021, 4:38 p.m.
Last Update	Nov. 21, 2024, 10:27 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:fusion_middleware:8.3.5.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:8.3.2.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/103425	US Government Resource
2	http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html	Patch Vendor Advisory
3	http://www.us-cert.gov/cas/techalerts/TA11-201A.html	US Government Resource
4	http://www-01.ibm.com/support/docview.wss?uid=swg21660640
5	http://www.kb.cert.org/vuls/id/103425	US Government Resource
6	http://www-01.ibm.com/support/docview.wss?uid=swg21660640
7	http://www.us-cert.gov/cas/techalerts/TA11-201A.html	US Government Resource
8	http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html	Patch Vendor Advisory

Common Vulnerabilities List