Oracle、定例セキュリティ更新で多数の脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20051021/12.html

Oracle (NASDAQ:ORCL) は18日、同社ソフトウェアに対する四半期単位の定例セキュリティ更新を行なった。

今回の定例セキュリティ更新では、『Oracle Database Server』『Oracle Application Server』『Oracle Collaboration Suite』『Oracle E-Business Suite』『Oracle Enterprise Manager』『Oracle PeopleSoft Enterprise』『JD Edwards EnterpriseOne』など、様々な Oracle 製品群に存在する89件の脆弱性に対応した。

修正した脆弱性の数は、7月の定例更新に比べてほぼ倍増している。

同社のセキュリティ勧告によると、一部のパッチはセキュリティ問題を直接解消するものではないが、別のセキュリティ修正パッチによって生じる相互依存性問題を解決するものという。

カーネギーメロン大学が運営するコンピュータ緊急事態対策チーム (CERT/CC) のセキュリティ専門家らは、セキュリティ管理者に対して、パッチ適用前に必要性を見極めるよう勧告している。Oracle も、クライアントだけの環境にはパッチを適用する必要がないと述べている。

CERT/CC は今回の修正パッチに関する報告の中で、「これらの脆弱性の及ぼす影響は、製品/コンポーネント/システム構成により異なる」とした上で、「可能性のある影響には、任意コードや任意コマンドの遠隔実行、情報漏洩、サービス不能化 (DoS) 攻撃などがある。Oracle 製品で運用するデータベースの攻撃に成功すれば、攻撃者は慎重に取り扱わなければならない情報を入手できる可能性がある」と述べた。

Oracle は、修正パッチで対応した脆弱性の内容をほとんど公表していない。同社は基本方針として、セキュリティ脆弱性に関する具体的な情報は明らかにせず、影響を受けるソフトウェア コンポーネント、危険度、および影響を受けるバージョンに限って情報を公開する。また内容によっては、対症的な回避方法を示すこともある。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。