Oracleは米国時間1月15日、四半期ごとに公開している定期セキュリティパッチである「Critical Patch Update」(CPU)の最新版をリリースし、284件の脆弱性を修正した。そのうち、リモートから認証を経ずに悪用される可能性のある脆弱性の件数は190件だった。
CPUで修正された脆弱性の件数は、2018年7月に過去最大の334件を記録したが、その後2回は減少傾向にある。ERPScanがまとめた、2015年1月以降のCPUで修正された脆弱性件数は以下の通り。
ERPScanがまとめた、2015年1月以降のCPUで修正された脆弱性件数
提供:ERPScan
また、CVSS(共通脆弱性評価システム)の10点満点の評価でスコアが9.0以上の重大な脆弱性の件数は、今回は30件強となっている。
今回特に脆弱性の件数が多かったのは、「Oracle Fusion Middleware」(62件)、「Oracle Communications Application」(33件)、「Oracle MySQL」(30件)、「Oracle Virtualization」(30件)、「Oracle PeopleSoft Products」(20件)などだった。
一般ユーザーに影響が大きい「Oracle Java SE」の修正項目は5件と比較的少なかった。すべてがリモートから認証なしに悪用可能ではあったものの、CVSSのスコアは最大で6.1だった。
Oracleはできるだけ速やかにパッチを適用することを強く推奨している。次回のCPU公開は4月16日の予定。
