Oracle、定例セキュリティ更新で多数の脆弱性に対応

Oracle (NASDAQ:ORCL) は18日、同社ソフトウェアに対する四半期単位の定例セキュリティ更新を行なった。

今回の定例セキュリティ更新では、『Oracle Database Server』『Oracle Application Server』『Oracle Collaboration Suite』『Oracle E-Business Suite』『Oracle Enterprise Manager』『Oracle PeopleSoft Enterprise』『JD Edwards EnterpriseOne』など、様々な Oracle 製品群に存在する89件の脆弱性に対応した。

修正した脆弱性の数は、7月の定例更新に比べてほぼ倍増している。

同社のセキュリティ勧告によると、一部のパッチはセキュリティ問題を直接解消するものではないが、別のセキュリティ修正パッチによって生じる相互依存性問題を解決するものという。

カーネギーメロン大学が運営するコンピュータ緊急事態対策チーム (CERT/CC) のセキュリティ専門家らは、セキュリティ管理者に対して、パッチ適用前に必要性を見極めるよう勧告している。Oracle も、クライアントだけの環境にはパッチを適用する必要がないと述べている。

CERT/CC は今回の修正パッチに関する報告の中で、「これらの脆弱性の及ぼす影響は、製品/コンポーネント/システム構成により異なる」とした上で、「可能性のある影響には、任意コードや任意コマンドの遠隔実行、情報漏洩、サービス不能化 (DoS) 攻撃などがある。Oracle 製品で運用するデータベースの攻撃に成功すれば、攻撃者は慎重に取り扱わなければならない情報を入手できる可能性がある」と述べた。

Oracle は、修正パッチで対応した脆弱性の内容をほとんど公表していない。同社は基本方針として、セキュリティ脆弱性に関する具体的な情報は明らかにせず、影響を受けるソフトウェア コンポーネント、危険度、および影響を受けるバージョンに限って情報を公開する。また内容によっては、対症的な回避方法を示すこともある。