Oracleは米国時間10月20日、10月のCritical Patch Updateを公開した。Critical Patch Updateは、Oracleが3カ月ごとにまとめて提供している、同社の製品ラインに対するセキュリティパッチ群だ。
今回のアップデートでは、同社のさまざまな製品に存在する154件の新たな脆弱性に対してパッチが提供されている。対象には、「Oracle Database」「Oracle Database Mobile/Lite Server」「Oracle Fusion Middleware」「Oracle Enterprise Manager 」「Oracle Supply Chain Products Suite」「PeopleSoft Enterprise」「Oracle Industry Applications」「Oracle Java SE」「Oracle Sun Systems Products Suite」「Oracle Linux and Virtualization」「Oracle MySQL」などの製品シリーズが含まれる。
- TechRepublic Japan関連記事
- 世界の情報セキュリティ支出--2015年は754億ドル、4.7%増
- 世界セキュリティアプライアンス市場の成長続く--第2四半期は12%増
Oracle Databaseには8件のパッチがリリースされている。もっとも深刻度が高いのはCVE-2015-4863で、CVSS Base Scoreで10.0と評価されている。これは、リモートから認証なしで悪用可能であり、攻撃に成功すると、対象システムが完全に乗っ取られる可能性があることを意味する。また、Oracle Sun Systems Product Suite(提供パッチは15件)、Oracle Communications Applications(同9件)にも、CVSS Base Scoreが10.0の深刻な脆弱性を修正するパッチが提供されている。
今回、Oracle Java SEを対象としたセキュリティパッチは25件あるが、このうち24件がリモートから認証なしで悪用可能で、やはりもっとも深刻な脆弱性はCVSS Base Scoreが10.0となっている。Oracleは一般ユーザーに対し、cのウェブサイトでJavaのバージョンが最新かどうかを確認し、不要であれば古いバージョンのJava SEを削除するよう推奨している。
同社によれば、10月19日時点では、深刻な脆弱性が悪用された事例は見つかっていない。ただし、パッチが公開されるとその内容を分析して攻撃コードが開発されることが多いとして、速やかに必要なパッチを適用することを強く推奨している。影響を受ける製品及びコンポーネントの完全なリストと、各製品のリスクマトリックスについては、このページから参照できる。