Oracleはさまざまなデータベースやサーバ製品に存在する、少なくとも38件の脆弱性を修正するCritical Patch Update(CPU)を公開する予定だと発表した。
もっとも深刻な脆弱性(CVSSスコアは10.0)は、Oracle Core RDBMS、Oracle JRockit、Oracle Network Authenticationに影響がある。このパッチは、米国時間2009年10月20日火曜日に公開される予定だ。
Oracleからの事前通知によれば、10月のCPUで影響を受ける製品やコンポーネントは、次の通りだ。
- Oracle Database: Oracle Databaseには16件のセキュリティ脆弱性に対する新たなパッチが提供される。これらの脆弱性のうち6件は、認証なしで遠隔から悪用することができる。例えば、ユーザー名とパスワードなしで、ネットワーク越しに悪用できる可能性がある。
- Oracle Application Server: Oracle Application Serverには3件の新たなセキュリティパッチが提供される。これらの脆弱性のうち2件は、認証なしで遠隔から悪用することができる。例えば、ユーザー名とパスワードなしで、ネットワーク越しに悪用できる可能性がある。
- Oracle E-BusinessおよびApplication Suite: この製品には、新たに8件のセキュリティパッチが提供される。これらの脆弱性のうち5件は、認証なしで遠隔から悪用することができる。
- Oracle PeopleSoft Enterprise および JD Edwards EnterpriseOne: PeopleSoft製品、JD Edwards製品については、5件の新たなセキュリティパッチが提供される。これらの脆弱性に、認証なしで遠隔から悪用できるものはない。
- Oracle BEA製品:BEA製品に対しては、6件の新たなセキュリティパッチが提供される。これらはすべて、認証なしで遠隔から悪用することができる。例えば、ユーザー名とパスワードなしで、ネットワーク越しに悪用できる可能性がある。
- Oracle JRockit
- Oracle WebLogic Portal
- Oracle WebLogic Server
- Oracle Industry Application製品スイート: Oracle Industry Application製品スイートに対しては、1件の新たなセキュリティパッチが提供される。この脆弱性は、認証なしで遠隔から悪用することはできない。
同社は、「攻撃が成功した場合にもたらされる危険のため、Oracleは顧客に対し、できる限り早くCritical Patch Updateを適用することを推奨する」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
