オラクル、65個のセキュリティホールを修復するパッチをリリース

　Oracleは米国時間7月18日、四半期ごとに行っているパッチリリースの一環として、同社の多くの製品に存在していた65件のセキュリティ脆弱性を修復するプログラムをリリースした。

　今回修復対象となった脆弱性の大半は、危険度の非常に高いものである。65件のバグのうち27件は、攻撃者に遠隔地から悪用されるおそれがあると、同社のセキュリティ警告担当シニアマネージャーDarius Wiles氏はインタビューに答えた。これらの問題に対する回避策は提示されておらず、Oracleはシステムにパッチを適用するよう、ユーザーに推奨している。

　「当社では、危険度の高いものから順に修復を行っている。『Critical Patch Update（CPU）』に含まれているパッチは、どれも最優先に適用すべきものだ。これらのセキュリティパッチをなるべく早急に利用することを、ユーザーに強く勧める」（Wiles氏）

　このたびのCPUが修復対象としているのは、Oracle Databaseに関わる23件、「Collaboration Suite」に関わる1件、「E-Business Suite and Applications」に関わる20件、「Enterprise Manager」に関わる4件、「PeopleSoft Enterprise Portal」に関わる2件、旧JD Edwardsのソフトウェアに関わる1件の脆弱性だ。

　また、Oracle Databaseと連係するクライアントソフトウェアの4件のセキュリティ脆弱性に関しても、パッチが提供されている。CPUの運用が始まったのは2005年1月だが、サーバではなくPC上で稼働するソフトウェアの脆弱性パッチが配布されたのは今回が2度目である。

　「ほとんどの場合、CPUではデータベースサーバにパッチを適用することになるが、7月のCPUではデスクトップを意識する必要があるので、ユーザーはその点に留意しなくてはならない」（Wiles氏）

　Oracleのセキュリティ警告によると、クライアントソフトウェアに存在する4件の脆弱性のうち3件は、一切の認証を必要とせずにリモートから悪用することができるので、リスクは大きいという。

　今回リリースされたパッチには、Oracleが2006年4月にあやまって情報をもらした、データベースの脆弱性を修復するものが含まれている。Oracleは基本的にセキュリティに関しては多くを語らず、同社製品の脆弱性を公表する研究者らに対して批判的な態度を取っているが、4月6日、「MetaLink」ユーザー用のウェブサイトに、未修復の脆弱性情報をみずから掲載してしまった。