Oracle が今年3回目の定例セキュリティ更新で45件の脆弱性に対応

Oracle (NASDAQ:ORCL) は17日、四半期ごとの定例セキュリティ更新を発表した。同社は今回のセキュリティ更新で、『Oracle Database』『Oracle Application Server』『Oracle Collaboration Suite』『Oracle E-Business Suite』『Oracle PeopleSoft Enterprise』および『JD Edwards EnterpriseOne』など、広範な製品群に存在する45件の脆弱性に対応している。

今回の定例セキュリティ更新『Critical Patch Update』(CPU) で対応した脆弱性の件数が最も多かったのは Database 製品で、その数は17件だった。そのうち2件は、ユーザーの認証なしに遠隔的な悪用が可能だ。

次に多かったのが E-Business Suite で、遠隔攻撃が可能な6件の脆弱性を含む14件の脆弱性に対応した。また Collaboration Suite では、遠隔攻撃が可能な4件の脆弱性を含む5件の脆弱性に対応し、Application Server では、認証なしで遠隔攻撃を許しかねない3件の脆弱性を含む4件の脆弱性に対応している。さらに『Oracle Application Express』でも、1件の脆弱性を修正した。

PeopleSoft Enterprise および JD Edwards EnterpriseOne では、合計7件の脆弱性に対応している。ただし、認証なしに遠隔攻撃を許す恐れがある脆弱性は、1件だけだという。

Oracle が今回対応した脆弱性の件数は、前回4月の定例セキュリティ更新で対応した脆弱性件数36件を上回る。

しかし今回の45件という件数も、2006年7月の定例セキュリティ更新で修正した脆弱性件数と比べれば、かなり減少したといえる。この時 Oracle は、65件の脆弱性に対応していた。

Oracle が定例セキュリティ更新で取り上げていない製品の1つに、『Oracle Enterprise Linux』がある。

同社オープンソース製品マーケティング担当シニアディレクタの Monica Kumar 氏は、四半期ごとの定例セキュリティ更新と同社の Linux サポートプログラムは、まったく別の問題だと説明する。Kumar 氏によると、Oracle Enterprise Linux を定例セキュリティ更新で扱わない理由の1つは、Linux の修正プログラムは直ちに公開しなければならないためという。Oracle はこの半年の間に、Linux に関して約17件の修正プログラムをリリースしたと Kumar 氏は述べた。