オラクル、定例パッチを公開--101件のセキュリティホールに対応

　Oracleは米国時間10月18日、四半期ごとに実施しているセキュリティパッチリリースの一環として、同社製品に存在する101件の脆弱性に対処するアップデートを公開した。

　今回の「Critical Patch Update」には、広く使われているデータベース製品に見つかった63件の脆弱性に対応するフィックスが含まれている。また、「Application Server」に対しては14件の脆弱性に対するパッチ、「E-Business Suite」に対しては13件のパッチ、「PeopleSoft」に対しては8件のパッチが発表され、「Oracle Pharmaceuticals」「JD Edwards」に対してもそれぞれ1件のパッチが発表された。

　「重大な修正の多くはApplication Serverに関するものだ」と、Oracleのセキュリティアラート担当シニアマネージャーであるDarius Wiles氏は述べた。「リモートから認証なしで悪用可能なセキュリティホールも多く、利用者はこれらについて注意し、なるべく早く修正する必要がある」（Wiles氏）

　Oracleの10月のセキュリティアップデートでは、同社が四半期ごとに発表している警告としては初めて、深刻度に関する情報が提供されている。また、今回の警告では、どのセキュリティホールがリモートから悪用され得るかという、最も深刻な脆弱性のタイプについても情報が明記されている。

　今回は深刻な問題に対処するアップデートが多い。Oracleの警告によれば、「Oracle Database」関連のセキュリティホールのうち30件が認証なしでリモートからの攻撃を受け得るという。Application Serverについても同様の問題が13件あり、E-Business SuiteおよびPeopleSoftについても1件ずつ存在するという。

　データベース関連のセキュリティホールのうち、35件が「Oracle Application Express」に存在するものであり、そのうち25件が脅威度評価で最も深刻なレベルに相当する。Application Expressのインストールはオプションであるため、これを利用している顧客の数は多くないとWiles氏は述べた。一方で、Application Serverは広く使われており、この製品に関するセキュリティホールの影響を受けるシステムは多いと同氏は述べている。

　「今回は多くの修正を行っている。これらは最優先で修正されるべきだ」と、英国ヨークのセキュリティ専門家であるPete Finnigan氏は現地時間17日のブログで書いている。「今回の新しい形式の勧告については、好感を持っている。完ぺきではないが、これまでよりはずっとよいやり方だ」（Finnigan氏）