Oracle、定例セキュリティ更新で43件の脆弱性に対応

Oracle は15日、四半期ごとの定例セキュリティ更新『Critical Patch Update』(CPU) を実施し、数十件にのぼる脆弱性に対応した。とりわけ重要なのは、2008年に買収した BEA Systems の製品群や基幹商品であるデータベース製品に対する修正だ。

今回の CPU では、全部で43件の脆弱性に対応した。うち4件は、Oracle が使用している業界標準の脆弱性評価システム『Common Vulnerability Scoring System』(CVSS) の評価スコアで8.5以上となっている。CVSS では、増大するリスクを評価するために、脆弱性の深刻度を0から10までの値で評価している。

このほかにも重大な脆弱性が13件ある。いずれも、攻撃の前に認証を必要としない脆弱性だが、CVSS の評価スコアは低い。Oracle によると、これは攻撃によって生じ得る損害が限定的なものだからだという。

しかし、Oracle は「攻撃を成功に導く材料となりかねない、攻撃に必要な条件や攻撃によって生じる結果に関する詳細な情報」を公表しないのが通例であるため、これらの脆弱性にどの程度の危険性があったのかは不明確なままだ。

それでも CPU では「攻撃が成功した場合の脅威を考慮して、Oracle は顧客に対し、修正を可能な限り速やかに適用することを強く推奨する」として、ユーザーに対して修正の適用を強く促している。

認証を必要とせずに攻撃を仕掛けられる脆弱性が存在するという点で、『Oracle Database』の脆弱性として挙げられた16件が持つ意味は大きい。

最も深刻度の高い脆弱性は『CVE-2009-0979』で、CVSS スコアは9.0となっている。これは『Oracle Database 9i』のユーザーのみに影響する問題で、現在大半を占めるはずの『Oracle Database 10g』と『Oracle Database 11g』は影響を受けないが、潜在的な危険性は残る。この脆弱性を突くとデータベースを完全に乗っ取ることも可能になると Oracle は説明している。

15日の CPU では、システム全体が侵害されるような脆弱性は少ないが、CVE-2009-0979 はそのうちの1つだ。Oracle が用いている分類方式によれば、今回の CPU で提供されているパッチの大半は「Complete (完全)」なアクセスを許す脆弱性に関するものではなく、「Partial+ (限定的)」なシステム侵害を招く脆弱性に対応するものだ。そのため、CVE-2009-0979 は、15日の CPU で修正された脆弱性の中でも極めて危険度の高い問題の1つだと言える。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール