Oracleが、33件の脆弱性を修正するパッチをリリースした。多岐にわたる同社製品の多くが対象となっている。
Oracleは米国時間7月14日、パッチとともにセキュリティ勧告をリリースし、これらの脆弱性のうち2件について危険度を最高レベルとした。
Oracleは声明で以下のように述べている。「今回の『Critical Patch Update』で対応している脆弱性の一部は、複数の製品に影響する。攻撃が成功すると脅威にさらされるので、できるだけ早く『Critical Patch Update』を適用するよう強く推奨する」
Oracleが採用している共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)では、「JRockit」ならびに「Secure Backup HTTP」コンポーネントに関係する2件の脆弱性が、最高スコアの深刻度10に評価された。2件のバグはいずれも認証なしでリモートから悪用される恐れがあり、攻撃者によるシステムの乗っ取りを可能にするものだと、Oracleでは説明している。
JRockitに関するパッチは「BEA Product Suite」に関するパッチに、Secure Backup HTTPに関するパッチはSecure Backup製品に関するパッチに、それぞれ含まれている。
また、ネットワーク接続を確立し維持するネットワーク基盤レイヤコンポーネントの脆弱性は、CVSSのスコアが9で、Windows版に存在する。このバグを突くには認証が必要だが、攻撃に成功すればデータベースを完全に乗っ取れるという。この脆弱性の修正は、「Oracle Database」製品に関するパッチに含まれている。
今回のアップデートにはOracleのデータベースソフトウェアに関するパッチが計10件含まれており、そのうち3件は認証なしでリモートから悪用可能だとOracleでは述べている。
他のパッチには、Oracle Secure Backupに関するものが2件、「Oracle Application Server」に関するものが2件、「Oracle Applications」に関するものが5件、「Oracle Enterprise Manager」に関するものが2件、「Oracle PeopleSoft/JDEdwards Suite」に関するものが3件、「Oracle Siebel Suite」に関するものが1件、Oracle BEA Products Suiteに関するものが5件含まれている。これらの脆弱性の詳細はOracleのサイトで公開されている。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
