Oracle、定例セキュリティ更新で51件の脆弱性に対応

Oracle は16日、四半期毎の定例セキュリティ更新『Critical Patch Update』(CPU) を実施した。今回、同社の製品に幅広く存在する51件の脆弱性に対応したが、その数は1年前の更新と比べて半減している。今回の更新では、同社が脆弱性の深刻度評価に利用しているシステムも新版に改めた。

対応した脆弱性は、データベース製品『Oracle Database』の脆弱性が27件にのぼり、全件数51件の半分以上を占めた。Oracle のセキュリティ勧告によると、27件のうち5件は、認証を経ず遠隔攻撃を許すおそれがある脆弱性だという。

『Oracle Application Server』の脆弱性は11件で、そのうち7件は認証なしに遠隔攻撃を許すおそれがある。『Oracle E-Business Suite』の脆弱性は8件あり、そのうち認証を経ない遠隔攻撃を許すおそれがあるものは1件だ。ほかに『Oracle Enterprise Manager』と『Oracle PeopleSoft Enterprise PeopleTools』でそれぞれ2件、『PeopleSoft Enterprise Human Capital Management』で1件の脆弱性を修正した。

今回の更新では51件の脆弱性に対応しているが、その数は前回の7月の更新で対応した65件から減っており、100件を超えていた1年前の10月の更新に比べると大幅に少なくなった。1年前の10月の更新は、認証を経ない遠隔攻撃を許す脆弱性の件数を初めて明示したという点でも、節目の更新だったといえる。認証を経ない遠隔攻撃のおそれがある脆弱性は、ローカルアクセス手段や何らかの形で認証を必要とする脆弱性に比べ、より簡単にアクセスでき、悪用も容易なことから、最も危険な部類に入る。

今回の更新では、同社が利用している業界標準の脆弱性評価システム『Common Vulnerability Scoring System』(CVSS) をバージョン2に変更した。同社は昨年、セキュリティ情報の開示方法を拡充するために CVSS を採用している。

Oracle の Global Technology Business Unit でセキュリティ担当マネージャを務める Eric Maurice 氏は、Oracle のセキュリティ Blog 上で次のように述べた。「CVSS が脆弱性の深刻度を評価する上で、業界標準の方法をもたらすことを、改めて示すのは無駄ではない」