Oracleは米国時間7月18日、四半期ごとに行っているパッチリリースの一環として、同社の多くの製品に存在していた65件のセキュリティ脆弱性を修復するプログラムをリリースした。
今回修復対象となった脆弱性の大半は、危険度の非常に高いものである。65件のバグのうち27件は、攻撃者に遠隔地から悪用されるおそれがあると、同社のセキュリティ警告担当シニアマネージャーDarius Wiles氏はインタビューに答えた。これらの問題に対する回避策は提示されておらず、Oracleはシステムにパッチを適用するよう、ユーザーに推奨している。
「当社では、危険度の高いものから順に修復を行っている。『Critical Patch Update(CPU)』に含まれているパッチは、どれも最優先に適用すべきものだ。これらのセキュリティパッチをなるべく早急に利用することを、ユーザーに強く勧める」(Wiles氏)
このたびのCPUが修復対象としているのは、Oracle Databaseに関わる23件、「Collaboration Suite」に関わる1件、「E-Business Suite and Applications」に関わる20件、「Enterprise Manager」に関わる4件、「PeopleSoft Enterprise Portal」に関わる2件、旧JD Edwardsのソフトウェアに関わる1件の脆弱性だ。
また、Oracle Databaseと連係するクライアントソフトウェアの4件のセキュリティ脆弱性に関しても、パッチが提供されている。CPUの運用が始まったのは2005年1月だが、サーバではなくPC上で稼働するソフトウェアの脆弱性パッチが配布されたのは今回が2度目である。
「ほとんどの場合、CPUではデータベースサーバにパッチを適用することになるが、7月のCPUではデスクトップを意識する必要があるので、ユーザーはその点に留意しなくてはならない」(Wiles氏)
Oracleのセキュリティ警告によると、クライアントソフトウェアに存在する4件の脆弱性のうち3件は、一切の認証を必要とせずにリモートから悪用することができるので、リスクは大きいという。
今回リリースされたパッチには、Oracleが2006年4月にあやまって情報をもらした、データベースの脆弱性を修復するものが含まれている。Oracleは基本的にセキュリティに関しては多くを語らず、同社製品の脆弱性を公表する研究者らに対して批判的な態度を取っているが、4月6日、「MetaLink」ユーザー用のウェブサイトに、未修復の脆弱性情報をみずから掲載してしまった。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」