Oracle、四半期に1度の定例更新で65件の脆弱性に対応

Oracle は18日、四半期に1度の定例セキュリティ更新『Critical Patch Update』(CPU) を発表した。今回は65件という多大な件数の脆弱性に対応している。

セキュリティ会社 Secunia は、今回 Oracle が対応した脆弱性について、全体の深刻度を、5段階のうち上から2番目と評価した。

定例更新で対応した脆弱性の件数は、前回4月に発表した際の36件を大きく上回っている。とはいえ、82件の脆弱性を修正した1月の定例更新と比べると、いくぶん減少した。

今回の定例更新もこれまでと同様、非常に数多くのソフトウェア製品について、脆弱性を一気に修正した。

対象となった製品は、『JD Edwards EnterpriseOne』『JD Edwards OneWorld』『Oracle Application Server 10g』『Oracle Collaboration Suite 10g』『Oracle Database 10g』『Oracle8i Database』『Oracle E-Business Suite 11i』『Oracle Enterprise Manager 10g Grid Control』『Oracle PeopleSoft Enterprise Portal』『Oracle Pharmaceutical Applications』『Oracle Workflow』『Oracle9i Application Server』『Oracle9i Collaboration Suite』『Oracle9i Database』『Oracle Developer Suite』と多岐に渡る。Oracle は、それぞれの脆弱性と各製品のバージョンおよびリリースとの関係について、一覧表を用意している。

データベースのセキュリティとコンプライアンス関連ソリューションを手がける Guardium の CTO (最高技術責任者)、Ron Ben-Natan 氏によると、Oracle が今回対応した脆弱性の75％以上が、データベースサーバーの可用性に影響を及ぼす可能性があるという。4月の定例更新では、この数字が30％未満だったと同氏は述べた。

Secunia の分析によると、今回 Oracle が対応した脆弱性のなかには、SQL インジェクション攻撃の標的になったり、システム乗っ取りの可能性のあるものが存在するという。Secunia は、それ以外の脆弱性が及ぼす影響について、「未知」としている。

Guardium の見解は Secunia に比べて楽観的だ。

「これらの脆弱性について楽観視できる点は、ほとんどがデータの可用性および整合性にのみ影響を及ぼすもので、データの機密性には危険が及ばないことだ」と Ben-Natan 氏は述べたが、その一方で「ただし、練度の高い攻撃者は、パッチを適用していないデータベースサーバーをたちまち攻略してしまうため、企業はソフトウェアの更新を積極的に行なう必要がある」と釘を刺した。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール