オラクル、パッチ提供方法を変更へ--36件の脆弱性に対応する修正をリリース

　Oracleは米国時間4月17日、同社のソフトウェアが稼働するすべてのシステムに対して、自発的にセキュリティパッチを用意するのをやめ、一般的ではない組み合わせのシステムに対しては、要求があった場合に修正パッチを提供することにする計画であると述べた。

　Oracleのデータベースソフトウェアおよびビジネスアプリケーションにはさまざまなバージョンが存在し、多種多様なOSで稼働する。カリフォルニア州レッドウッドシティを本拠とする同社はこれまで、これらすべてに対しセキュリティ修正を提供していた。その中にはほとんどダウンロードされることのない修正も存在するため、2007年7月に予定されている次のパッチリリースからこの提供方法を変更すると同社は述べた。

　Oracleのセキュリティ担当マネージャーであるEric Maurice氏は企業ブログで、「これまでの経験上、利用されていないプラットフォームとバージョンの組み合わせが存在する」と記した。「そのような組み合わせに対し体系的に（アップデートを）用意するのをやめて、クライアントから特に要求があった場合のみパッチを作成していく予定である」（Maurice氏）

　Oracleは、該当するソフトウェアプログラムのメインコードおよびその後のリリースのほか、セキュリティ修正以外のアップデートも含む「パッチセット」にも、今後もこうした修正パッチを含める予定である。

　Oracleは、4月のセキュリティパッチを発表すると同時に、今回のパッチ提供方法の変更を発表した。「Critical Patch Update」には、Oracleの複数の製品に関連する36件の脆弱性に対する修正パッチが提供されており、そのうち14件は同社の広く利用されるデータベースソフトウェアに関する修正になっている。Oracleによると、今回の脆弱性のいくつかは、遠隔地からの匿名の攻撃に悪用される恐れがあるという。

　Oracleはセキュリティアドバイザリで、「実際の攻撃の脅威にさらされていることから、Oracleは修正をできる限り早く適用することを強く推奨する」と述べた。

　しかし、Windowsを利用するOracleの顧客の一部は、同社データベースに対する修正パッチの提供を、4月30日まで待たなければならない。Oracle関係者によると、Windowsで稼働する同社のデータベースソフトウェアのバージョン9.2.0.8に対するアップデートは、品質上の問題によりまだ用意されていないという。

　Oracleの次回のCritical Patch Updateは7月17日のリリースを予定している。