Oracle、四半期単位のセキュリティ更新実施

この記事のURLhttp://japan.internet.com/webtech/20050120/12.html

Oracle (NASDAQ:ORCL) は18日、2005年初のセキュリティパッチ配布を発表した。今回新たに、『Risk Matrix』という脆弱性の評価一覧が情報に加わった。

今回のパッチ配布は、Oracle がセキュリティ更新サイクルを四半期ごとに変更した後の第1回目となる。同社は定期更新で対応しない脆弱性の影響が大きい場合は、更新サイクルとは別に、顧客に対して即座にセキュリティ情報を提供すると述べている。

1月更新で提供する修正内容は、2004年12月に配布したセキュリティ情報 No.68 (PDF ファイル) の修正分をすべて含む累積的な更新で、新たに多数の脆弱性に対する修正が加わっている。なお相互依存性のため、セキュリティ更新に必要な修正も含む。

同社は重要更新およびセキュリティ勧告情報ページ の中で、1月の更新情報について詳細文書『Critical Patch Update』(PDF ファイル) を提供している。同 PDF ファイルは、同社のサポート Web サイト『MetaLink』で提供する修正パッチのリンクを掲載している。

また今回より、同文書には脆弱性評価一覧の Risk Matrix がお目見えした。Risk Matrix は、定期更新で対応した全ての脆弱性について、その危険性の判断を助けるものだ。危険性評価は、個人情報などの「機密性」、情報改ざんなどの「完全性」、そしてサービス運用に対する影響の「可用性」と3つに分かれ、それぞれ悪用の容易さと影響の大きさについて評価が付いている。

さらにこの一覧では、脆弱性を悪用する場合に必要なアクセス手段や権限のほか、悪用に必要な状況についての情報も提供する。そのほか、影響を受ける最も旧い対応製品のリリース番号や、各版のパッチセットで影響を受ける最も新しいものはどれか、という情報も記載している。