Oracleは同社のいくつかのデータベースサーバ製品に関する、少なくとも43件の脆弱性を修正するCritical Patch Update(CPU)を公開した。
今回の大規模アップデートの公開は、Microsoftのセキュリティパッチの公開日と重なったが、同社の主力製品であるOracle Database Serverに存在する少なくとも16件のセキュリティホールを修正している。データベースの脆弱性のうち2つ(クラスタサービス、TNSリスナ)は、認証なしでリモートから悪用することができるものだ。
Red Database SecurityのAlexander Kornbrust氏は、次のように寸評している。
もっとも高いCVSS基本値は9.0だ。これはリソースマネージャに存在するバグのもので(Oracle 9.2のみ)、create sessionの権限しか必要としない。
今回、Oracleはわれわれが報告した脆弱性を3件修正している(Oracle Advanced QueuingのSQL Injectionに関するもの2件、APEX)。APEXに関するOracleの説明は正しくない。APEXのパスワードハッシュにアクセスするには、APEXの開発ユーザーである必要はない。create sessionの権限を持つ通常のデータベースユーザーでも可能だ。
今回のOracleのアドバイザリでは、12人の研究者の名前が挙がっている(Red Database Securityからは、Franz HullとAlexander Kornbrustの2人が載っている)。報告者のリストには、今回も常連達(Esteban、Joxean、David)の名前がある。
もっとも緊急のバグ(CVE-2009-0979)は、Oracle 9.2のResource Managerに影響がある。
今回のCPUには、次のアップデートが含まれている。
- Oracle Database Serverに対する16件のアップデート
- Oracle Application Serverに対する12件のアップデート
- Oracle Applicationsに対する3件のアップデート
- Oracle PeopleSoftおよびJDEdwards Suiteに対する4件のアップデート
- BEA Product Suiteに対する8件のアップデート
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
