オラクル、1月の定例更新で78件の脆弱性を修正
2012-01-19
Oracleは米国時間1月17日、78件のセキュリティ修正を公開した。同社が擁するさまざまなデータベース製品全般に存在する脆弱性に対処するものだ。 OracleのCritical Patch Update(CPU)1月版の一環として今回修正された78件の脆弱性のうち、16件はリモートから悪用される恐れがある重大なものとされている。これらの修正はOracle製品ラインアップの多くに及んでおり(http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html)、「Oracle Database」「Fusion Middleware」「E-Business Suite」「Sun Product Suite」「MySQL Server」「VM VirtualBox」ならびに「PeopleSoft」関連製品が含まれている。 パッチの1つは、Oracleデータベースシステムのセキュリティを危険にさらす恐れのある重大な脆弱性に対処している。この脆弱性は技術系ニュースサイトのInfoWorld(http://www.infoworld.com/d/security/fundamental-oracle-flaw-revealed-184163-0)が最初に発見したもので、同サイトは記事の公開前にOracleに情報提供したため、Oracleは修正を開発する時間を得ることができた。 リモート攻撃の可能性を考慮すると、特にその場限りの回避策は手間の割に効果が望めないとして、Oracleはできる限り早く今回の修正を適用するよう顧客に呼びかけている。 Oracleはアドバイザリで次のように述べている。「CPUの修正を適用するまで、攻撃に必要なネットワークプロトコルをブロックすることで、攻撃が成功するリスクを減らせるかもしれない。何らかの権限、あるいは特定のパッケージへのアクセスを必要とする攻撃については、こうした権限を必要としないユーザーに与えられている権限、あるいはパッケージへのアクセスを削除する、攻撃が成功するリスクを軽減する助けになるかもしれない」 ただしOracleは、これらの措置によってデータベースアプリケーションの機能が損なわれる恐れがあると警告するとともに、顧客に対し、これらの変更を本番機以外のシステムでテストするよう強く求めている。同社はさらに「どちらの手法も根本的な問題を修正するわけではないので、いずれも長期的な解決策と考えるべきではない」と付け加えている。