Oracleの最新パッチアップデートが米国時間4月19日、リリースされた。このアップデートには、さまざまなOracleソフトウェアの脆弱性に対する136件の修正が含まれている。
同社のセキュリティアドバイザリによると、4月のCritical Patch Updateには、「Oracle Database Server」「Java SE」「MySQL」「Solaris」など計49製品のセキュリティに関する修正が含まれるという。
Oracleが旧式のCVSS 2.0評価システムではなくCVSS 3.0を使ってパッチアップデートをリリースするのは、今回が初めてだ。
- TechRepublic Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
Oracleのセキュリティリリースには、Oracle Database Serverにある5件の脆弱性に対する修正が含まれている。そのうち2つは、認証なしでリモートから悪用されるおそれがある。
さらに、同社は「Oracle Fusion Middleware」の22件の脆弱性を修正した。そのうち21の脆弱性は、認証なしでリモートから悪用されるおそれがある。
エンタープライズソフトウェア企業のShavlikが指摘したように、今回のアップデートで修正された最も古い脆弱性「CVE-2011-4461」は、2011年に発見されたものだ。
Oracleは3月、Java SEの緊急パッチをリリースし、攻撃者にユーザー認証なしでリモートからコードを実行される脆弱性を修正した。この脆弱性を悪用されると、システムを乗っ取られて、データを盗まれるおそれがあった。
Oracleの次回のCritical Patch Updateは、7月19日にリリース予定だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。