Oracle、初の月例パッチをリリース

データベースソフトウェア大手 Oracle (NASDAQ:ORCL) は、月例化後初のセキュリティ情報を発表し、製品に存在する複数の「高リスク」脆弱性を修正するパッチ群をリリースした。

セキュリティ情報発表の月例化は、セキュリティ脆弱性の修正パッチ提供までに時間がかかり過ぎるとセキュリティ専門家たちから批判を浴びての対応だ。今回のセキュリティ情報 (PDF ファイル) では、『Oracle Database Server』『Oracle Application Server』『Oracle Enterprise Manager』『Oracle Collaboration Suite』に潜む複数の重大な脆弱性に関する情報およびパッチを提供している。

同社は、それら脆弱性についての具体的な詳細は明らかにしていない。しかし、その脆弱性を放置すると、サービス乗っ取り、データ改竄、機密たるべきシステム情報の露出、および DoS 攻撃の恐れがあるとして、次のように述べている。

「パッチを適用しないままでいるとリスクが大きい。これら脆弱性の中には、攻撃者がネットワークへの接続にさえ成功すれば、正規のユーザーアカウント無しでも攻撃可能なものがあるからだ。パッチ適用なしで問題に完全対応できる回避策も存在しない。速やかにパッチを適用することを強く推奨する」

同社は、各製品のパッチ有無に関する一覧表を、顧客向けにオンラインで公開した。

これらの脆弱性について、セキュリティ情報会社 Secunia は独自のセキュリティ勧告の中で、危険度を5段階中2番目に高く位置づけるとともに、影響を受ける Oracle 製品のバージョンなどについて詳細情報を提供している。

セキュリティ調査会社 Integrigy も独自のセキュリティ勧告を発表し、「これら脆弱性の多くは Oracle のアプリケーション全製品に影響しており、攻撃を受ける恐れがある (ため、パッチ適用は必須)」と警告した。同社は、Oracle がこれら脆弱性の一部を確認するのに協力していた。