|
|
| Webテクノロジー | 2007年4月20日 10:20 |
|
Oracle、通算10回目となる定例セキュリティ更新 著者: Sean Michael Kerner オリジナル版を読む ▼2007年4月20日 10:20 付の記事 ■海外internet.com発の記事 Oracle (NASDAQ:ORCL) が、今年2回目となる四半期ごとの定例セキュリティ更新を行なった。これを受けて米国土安全保障省のコンピュータ セキュリティ対策機関 US-CERT は18日、『National Cyber Alert System』を通じてセキュリティ勧告を出した。 Oracle は今回の定例セキュリティ更新で、広範な製品に存在する36件の脆弱性に対応した。これは、同社が四半期ごとの定例更新『Critical Patch Update』(CPU) を開始してから、最も少ない部類に入る。Oracle が四半期単位の CPU を行なうのは、今回で10回目だ。 しかし、Oracle が今回の CPU で修正した脆弱性のすべてが新しいものというわけではない。Oracle 製品のセキュリティを専門に扱う Red-Database-Security によれば、今回 Oracle が修正した脆弱性の中には、2003年に見つかったものもあるという。 今回の CPU で対応した脆弱性の件数は、データベース製品が最も多く、全体で14件あった。その次に多かったのが『Oracle E-Business Suite』で、件数は11件だ。これら11件はすべて新たに見つかった脆弱性で、そのうち2件は、ユーザー名とパスワードの認証なしで、ネットワークを介した遠隔攻撃を許しかねないという。 そのほか、『Oracle Application Server』に関係する脆弱性5件、『Oracle Collaboration Suite』固有の脆弱性1件、そして『Oracle Enterprise Manager』に存在し、認証なしで遠隔攻撃が可能な脆弱性1件にも対応した。 また、『JD Edwards EnterpriseOne Tools』および『JD Edwards OneWorld Tools』のほか、『Oracle PeopleSoft Enterprise Human Capital Management』でもそれぞれ1件の脆弱性に対応している。 Oracle の CPU システムにより、顧客から見れば更新作業は容易になったと言えるかもしれないが、Oracle にとって、CPU 実施が容易とは言い難い。 Oracle のグローバル テクノロジ事業部門で、セキュリティ担当マネージャを務める Eric Maurice 氏は、同社の製品セキュリティ情報 Blog で次のように述べた。「今回の CPU 実施で節目となる10回目を迎えたが、この取り組みは、すべての製品とすべてのプラットフォームの組み合わせについて、パッチを用意してテストしなければならず、それを四半期ごとの公開日に間に合わせなければならないため、大変な作業であることに変わりはない」 こうした事情により、7月に予定している次回の CPU では、これまであまり動きのないサーバーおよびミドルウェア製品の組み合わせについて、要請のあったものだけなどの形で対応する計画だという。Maurice 氏はこの変更について、大半の顧客は影響を受けないだろうとの見方を示した。 |
| トップページ | 画面トップ |
|
||
|
||
|
