提供:Malwarebytes
Oracleは米国時間4月19日、定例パッチ「Critical Patch Update(CPU)」をリリースした。CPUは毎年1月と4月、7月、10月に公開される。今回は299件の脆弱性が修正されており、その数はこれまで最高だった前年7月の276件を上回っている。
同社のセキュリティアドバイザリによると、今回のパッチには「Oracle Database Server」や「Oracle Fusion Middleware」「Oracle Enterprise Manager Base Platform 」「PeopleSoft Enterprise」「Oracle Java SE」など、同社の主なソフトウェア製品に存在する299件のセキュリティ問題の修正が含まれている。
これら修正の大半は「Oracle Financial Services Applications」や「Oracle Retail Applications」「Oracle Communications Applications」「Oracle MySQL」に対するものだ。クラウドセキュリティ企業のQualysは、これら製品に存在する脆弱性が悪用された場合、HTTP経由で遠隔地からシステムを完全に乗っ取られる可能性もあると伝えている。
Oracleは今回、MySQLで39件、Retailで39件、Financial Servicesで47件の脆弱性に対処するとともに、Javaのセキュリティ問題8件を修正している。
同社は299件の脆弱性のうち、100件以上は遠隔地から悪用できるものだとしている。
今回修正された脆弱性のうち「Oracle Solaris 10」および「Oracle Solaris 11.3」に存在する「CVE-2017-3622」は、「Shadow Brokers」というハッカー集団による脆弱性攻撃のダンプから発見されたものだという。
Shadow Brokersが利用している「EXTREMEPARR」と呼ばれるこの脆弱性攻撃手法は、Solarisにおける特権昇格に用いることができるという。Shadow Brokersが使用している「Ebbshave」というもう1つの攻撃手法(「CVE-2017-3623」を悪用している)は、以前のアップデートで既に無効化されているため、「Solaris 11」には影響を及ぼさない。
Oracleは今回のアップデートを「critical」(緊急)に分類している。また同社は、ソフトウェアをアップデートせず、セキュリティ修正を適時当てていなかったために攻撃されたという報告を複数受け取っていると述べている。同社はIT管理者に対して、自らのシステムを「即刻」アップデートするよう強く求めている。
Oracleは次回のセキュリティアップデートを7月18日に予定している。
また、Oracle関連の他のニュースとして、同社は18日、広告分析を手がけるMoatの買収契約が合意に至ったと発表した。これにより「Oracle Data Cloud」の広告発行ツールのポートフォリオを拡充するのが狙いだ。OracleによるMoatの買収は、API開発ツールなどを手がける新興企業のApiaryや、コードの試験やデプロイの自動化ツールを提供するオランダの新興企業Wercherの買収に続くものだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
