オラクルが大規模パッチ群を公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-04-16 00:47

 Oracleは同社のいくつかのデータベースサーバ製品に関する、少なくとも43件の脆弱性を修正するCritical Patch Update(CPU)を公開した。

 今回の大規模アップデートの公開は、Microsoftのセキュリティパッチの公開日と重なったが、同社の主力製品であるOracle Database Serverに存在する少なくとも16件のセキュリティホールを修正している。データベースの脆弱性のうち2つ(クラスタサービス、TNSリスナ)は、認証なしでリモートから悪用することができるものだ。

 Red Database SecurityのAlexander Kornbrust氏は、次のように寸評している

 もっとも高いCVSS基本値は9.0だ。これはリソースマネージャに存在するバグのもので(Oracle 9.2のみ)、create sessionの権限しか必要としない。

 今回、Oracleはわれわれが報告した脆弱性を3件修正している(Oracle Advanced QueuingのSQL Injectionに関するもの2件、APEX)。APEXに関するOracleの説明は正しくない。APEXのパスワードハッシュにアクセスするには、APEXの開発ユーザーである必要はない。create sessionの権限を持つ通常のデータベースユーザーでも可能だ。

 今回のOracleのアドバイザリでは、12人の研究者の名前が挙がっている(Red Database Securityからは、Franz HullとAlexander Kornbrustの2人が載っている)。報告者のリストには、今回も常連達(Esteban、Joxean、David)の名前がある。

 もっとも緊急のバグ(CVE-2009-0979)は、Oracle 9.2のResource Managerに影響がある。

 今回のCPUには、次のアップデートが含まれている。

  • Oracle Database Serverに対する16件のアップデート
  • Oracle Application Serverに対する12件のアップデート
  • Oracle Applicationsに対する3件のアップデート
  • Oracle PeopleSoftおよびJDEdwards Suiteに対する4件のアップデート
  • BEA Product Suiteに対する8件のアップデート

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]