Oracle、定例セキュリティ更新で36件の新たな脆弱性に対応

Oracle は14日、四半期ごとの定例セキュリティ更新『Critical Patch Update』(CPU) を実施した。今回は、自社製品群に存在する36件の脆弱性に対応した修正パッチを公開した。今年の CPU はこれで最後となる。

今回の CPU で修正件数が最も多かった製品は『Oracle Database』だったが、最も深刻な脆弱性は『Oracle WebLogic Server』(旧『BEA WebLogic Server』) のものだった。

Oracle は2005年以来、四半期ごとに CPU を出すことが慣例になっている。

製品の分類別に見ていくと、『Oracle Application Server』で6件、また『Oracle E-Business Suite』および『Oracle Applications』では4件の新たな脆弱性に対応した。どちらのグループにも、認証なしの遠隔攻撃を許しかねない脆弱性が2件ずつ存在する。そして『PeopleSoft Enterprise』および『JD Edwards EnterpriseOne』では5件の新たな脆弱性に対応しており、このうち2件が認証なしの遠隔攻撃を許しかねない問題だった。

7月に実施した前回の CPU で、初めてパッチを出した BEA 由来の『WebLogic』製品群については、今回6件の新たな脆弱性に対応した。これらのうち5件が認証なしの遠隔攻撃を許しかねない問題だ。

Oracle は、システム管理者が脆弱性の深刻さを判断できるよう、業界標準の脆弱性評価システム『Common Vulnerability Scoring System』(CVSS) を用いた深刻度も併せて公表している。今回の CPU で対応した36件の脆弱性の中で、CVSS スコアの重大性が10.0という最大値になったのは、WebLogic Server の『Apache』用プラグインだけだった。

Oracle グローバルテクノロジ事業部門のセキュリティ担当マネージャ Eric Maurice 氏は Blog 記事の中で、WebLogic の問題 (脆弱性番号『CVE-2008-4008』) は新しく、同様の問題を扱った過去のセキュリティ勧告で対応したものとは別だと説明した。

Maurice 氏は「脆弱性 CVE-2008-4008 は、今回の CPU を作成する直前に報告を受けた新しい脆弱性だ。WebLogic ユーザーに素早く問題解決手段を提供し、確実にセキュリティを維持できるよう、同脆弱性の修正パッチを今回の CPU に入れた」と記している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール