Oracle、定例セキュリティ更新を実施

この記事のURLhttp://japan.internet.com/webtech/20050715/12.html

Oracle (NASDAQ:ORCL) は12日、四半期ごとの定例セキュリティ更新を実施した。今回の更新は、同社のさまざまなソフトウェア製品に存在する49件の脆弱性に対応したものだ。

Oracle の定期更新では、セキュリティ修正パッチにより生じる相互依存性問題を解決するため、セキュリティ関連ではない修正パッチも複数提供する。今回の更新は、『Oracle Database Server』『Oracle Application Server』『Oracle E-Business Suite and Applications』『Oracle Enterprise Manager』など様々な製品が対象となっている。

Oracle が公開したセキュリティ勧告によると、データベース関連の12件の脆弱性は、データベース クライアントのみを導入した環境には影響しないため、クライアントシステムについては、前回のセキュリティ更新パッチを適用済みならば安全という。

米国のセキュリティ機関 US-CERT は、13日に公開したセキュリティ勧告の中で、任意コードや任意コマンドの遠隔実行、サービス不能化 (DoS) 攻撃、情報漏洩などを招くおそれがあると警告した。Oracle 製品で運用するデータベースの攻撃に成功すれば、攻撃者は慎重に取り扱わなければならない情報を入手できると、US-CERT は強調している。

Oracle がセキュリティ上の脆弱性情報を開示するやり方は、他のソフトウェアベンダーのやり方とかなり異なる。

オープンソース開発団体 Mozilla Foundation のように、脆弱性の内容を完全に開示する組織もあれば、深刻度評価を付けた月例セキュリティ更新を行なう Microsoft のように、脆弱性の詳細について部分的に開示する組織もある。しかし Oracle は、脆弱性について、細かなところまでは開示しない。

ただし、同社が定期更新を行なう際には、個々の脆弱性について、対象製品とコンポーネントや、悪用するのに必要なアクセス手段のほか、危険性などの情報を一覧表にまとめて提示している。危険性の評価については、Microsoft の深刻度評価のような1次元的なものではなく、「情報の機密性」「情報の完全性」「サービス可用性」の3点に分けて、悪用の容易さと影響の大きさを示す多元的な評価手法を採っている。

しかし一方で、細かな情報を公にしない点について、不満を漏らす声もある。セキュリティ会社 iDEFENSE の脆弱性情報対応部門 iDEFENSE Labs のディレクタ Michael Sutton 氏は、進むべき道が完全情報開示と非開示の間の微妙なところにあるが、Oracle のやり方は同社の顧客にとって非常に危険だと述べた。