Oracle、定例セキュリティ更新で82件の脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20060119/11.html

Oracle は17日、四半期に1度の定例セキュリティ更新『Critical Patch Update』を行ない、同社のさまざまな製品に存在する脆弱性およびセキュリティ問題、合わせて82件に対する修正プログラムを公開した。

同社は前回2005年10月のセキュリティ更新でも、89件という多数の脆弱性に対応した。セキュリティ会社 Secunia は、今回発表となった脆弱性に関するセキュリティ勧告を出し、深刻度評価を5段階中の上から3番目としている。

これら脆弱性の影響を受けるのは、『Oracle Database』のバージョン 8.x/9i/10g、および『Oracle Application Server』『Oracle E-Business Suite 11i』『Oracle Collaboration Suite』の複数バージョンだ。

さらに、Oracle ブランド以外の製品でも、『J.D. Edwards Enterprise』バージョン 8.x と『PeopleSoft Enterprise Portal』バージョン 8.x が、今回のセキュリティ更新の対象となった。

Oracle は同セキュリティ更新に関する勧告の中で、各製品についての詳細なリスク情報を公開している。

Secunia のセキュリティ勧告によると、脆弱性の中にはその影響が未確認のものや、悪用されると情報の盗難、ファイルの書き換え、SQL インジェクション攻撃につながりかねないものが含まれるという。

Oracle は2004年11月から、定例セキュリティ更新を四半期ごとに行なっている。

同社広報は、四半期に1度というセキュリティ更新スケジュールについて、同社でさまざまな業界にまたがる顧客調査を実施した結果、重大な脆弱性から顧客を保護し、なおかつ顧客による製品管理を容易にするうえで、この頻度が妥当との結論に至ったと説明している。

また、四半期に1度という更新スケジュールは顧客のニーズを満たすと同時に、3つの大きなメリットをもたらすという。

1つ目は、顧客企業が予告なしの急な修正プログラム公開に対応する必要がなく、製品の構成管理計画が立てやすいこと、2つ目は、長期休暇などで顧客企業がシステムの更新をしない期間を避けられることだ。

そして3つ目は、多くの深刻度の高い脆弱性にまとめて対応し、テストにも十分時間をかけた単一の修正パッチを提供することで、顧客の修正パッチ適用にかかるコストを抑えられることだという。