Oracleは米国時間4月18日、四半期ごとのパッチリリースとして、多くの製品を対象とするセキュリティ関連の脆弱性フィックスを大量にリリースした。
今回の「Oracle Critical Patch Update」の対象となったのは、Oracle Databaseの脆弱性14件とOracle Collaboration Suiteの脆弱性5件、Oracle Application Serverの脆弱性1件、Oracle E-Business Suite and Applicationsの脆弱性15件、Oracle Enterprise Managerの脆弱性2件、PeopleSoft Enterprise Portal Applicationsの脆弱性1件、そして旧JD Edwards製ソフトウェアの脆弱性1件だ。
これらのセキュリティフィックスのほかに、同社はデフォルトのアカウントとパスワードをチェックするのに用いられる既存のツールにも「大幅な変更」を加えたと言う。このツールは、上記のデフォルト情報を不正入手するデータベースワーム「Oracle Voyager」からシステムを保護するために、2006年1月にリリースされたものだ。
セキュリティ問題の修復が遅く、バグを発見した研究者に対する回答を怠りがちだとして、Oracleはこれまで批判を受けてきた。一方、OracleのチーフセキュリティオフィサーMary Ann Davidsonは、製品セキュリティの観点からすると、バグを探す行為自体に問題があるとしている。
今回のパッチリリースの告知の中で同社は、脆弱性を報告してきた多くの研究者の名を挙げ、感謝の意を表した。そこには「Oracle Database」の脆弱性を発見したと「Full-disclosure」というメーリングリストに投稿したRed Database SecurityのAlexander Kornbrust氏やApplication SecurityのEsteban Martinez Fayo氏、Next Generation Security SoftwareのDavid Litchfield氏の名前もあった。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
