Oracle は今回の定例セキュリティ更新で、広範な製品に存在する36件の脆弱性に対応した。これは、同社が四半期ごとの定例更新『Critical Patch Update』(CPU) を開始してから、最も少ない部類に入る。Oracle が四半期単位の CPU を行なうのは、今回で10回目だ。
しかし、Oracle が今回の CPU で修正した脆弱性のすべてが新しいものというわけではない。Oracle 製品のセキュリティを専門に扱う Red-Database-Security によれば、今回 Oracle が修正した脆弱性の中には、2003年に見つかったものもあるという。
今回の CPU で対応した脆弱性の件数は、データベース製品が最も多く、全体で14件あった。その次に多かったのが『Oracle E-Business Suite』で、件数は11件だ。これら11件はすべて新たに見つかった脆弱性で、そのうち2件は、ユーザー名とパスワードの認証なしで、ネットワークを介した遠隔攻撃を許しかねないという。
また、『JD Edwards EnterpriseOne Tools』および『JD Edwards OneWorld Tools』のほか、『Oracle PeopleSoft Enterprise Human Capital Management』でもそれぞれ1件の脆弱性に対応している。
Oracle の CPU システムにより、顧客から見れば更新作業は容易になったと言えるかもしれないが、Oracle にとって、CPU 実施が容易とは言い難い。
Oracle のグローバル テクノロジ事業部門で、セキュリティ担当マネージャを務める Eric Maurice 氏は、同社の製品セキュリティ情報 Blog で次のように述べた。「今回の CPU 実施で節目となる10回目を迎えたが、この取り組みは、すべての製品とすべてのプラットフォームの組み合わせについて、パッチを用意してテストしなければならず、それを四半期ごとの公開日に間に合わせなければならないため、大変な作業であることに変わりはない」
こうした事情により、7月に予定している次回の CPU では、これまであまり動きのないサーバーおよびミドルウェア製品の組み合わせについて、要請のあったものだけなどの形で対応する計画だという。Maurice 氏はこの変更について、大半の顧客は影響を受けないだろうとの見方を示した。
