Oracle、1月の定例セキュリティ更新では脆弱性の数が半減

Oracle は、四半期ごとの定例セキュリティ更新『Critical Patch Update』(CPU) を実施し、同社のアプリケーションに存在する26件の脆弱性に対応した。2007年10月に実施した前回のセキュリティ更新に比べ、対応した脆弱性の数はほぼ半減している。

今回のセキュリティ更新では、データベース製品『Oracle Database』に関する脆弱性が最も多く、全部で8件となっているが、その中に「認証なしの遠隔攻撃が可能」とされたものは1件もなかった。

「認証なしの遠隔攻撃が可能」な脆弱性とは、その名の示すとおり、認証を経ずに遠隔攻撃を許すおそれがあるもので、最も危険性が高い部類の脆弱性だ。Oracle がこの種の脆弱性について詳しい情報を提供し始めたのは、2006年10月のセキュリティ更新からだ。このとき修正された101件の脆弱性のうち、半分以上が遠隔攻撃を招くおそれがあるとされていた。

また、今回のセキュリティ更新では『Oracle E-Business Suite』の脆弱性が7件あり、そのうちの3件は認証なしの遠隔攻撃を招きかねないものだ。

さらに、『Oracle Application Server』に関するものが6件で、うち5件に遠隔攻撃のおそれがある。そのほか、『Oracle PeopleSoft Enterprise Tools and Technology』(PeopleTools) で4件あり、そのうち遠隔攻撃のおそれがあるものは1件だ。残る1件の脆弱性は『Oracle Collaboration Suit』に関するものだった。

今回のセキュリティ更新では脆弱性の数が大幅に減少したが、その一方で Oracle のユーザーがセキュリティ更新に対してしかるべき注意を払っていないという指摘もある。データベースのセキュリティを手がける Sentrigo の調査によると、セキュリティ更新があっても、Oracle ユーザーの多くはシステムにきちんとパッチを当てていないという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール