米Oracleは現地時間1月17日,同社のデータベース・サーバーやアプリケーション・サーバー製品などに複数のセキュリティ・ホールが見つかったことを明らかにするとともに,“定例パッチ(Critical Patch Update:CPU)”を公開した。危険なセキュリティ・ホールが複数含まれるようなので,同製品の管理者はできるだけ早急に対応したい。
パッチの適用対象製品は以下のとおり。詳細については同社の情報を参照してほしい。
- Oracle Database 10g Release 1/2
- Oracle9i Database Release 2/3
- Oracle Enterprise Manager 10g Grid Control
- Oracle Application Server 10g Release 2
- Oracle Application Server 10g Release 1 (9.0.4)
- Oracle Collaboration Suite 10g Release 1
Oracle9i Collaboration Suite Release 2 - Oracle E-Business Suite Release 11i/11.0
- PeopleSoft Enterprise Portal
- JD Edwards EnterpriseOne Tools/OneWorld Tools
それぞれの製品・コンポーネントに見つかったセキュリティ・ホールの詳細については明らかにしていないが,深刻度(リスク)をまとめたマトリクスを公表している。それによると,悪用が容易で影響範囲が広いセキュリティ・ホールが複数含まれているという。このため対象製品の管理者は,同情報を参照して早急に対応したい。
対策は,同社が提供するパッチを適用すること。「MetaLink」サイトなどから入手できる(同サイトへのアクセスには事前登録が必要)。
今回公開されたパッチは,四半期ごとに公開されている定例パッチ。Oracleでは,2005年から事前に公表されているスケジュールにしたがってセキュリティ・パッチを公開している(関連記事)。今回のパッチは,2006年最初の定例パッチ。次回以降は,4月18日,7月18日,10月17日(いずれも米国時間)の公開を予定している。
なお今回のパッチ情報の日本語訳は,日本オラクルのサイトで1月20日に公開される予定。
◎参考資料
◆Oracle Critical Patch Update - January 2006
◆Oracle Technology Network Japan - セキュリティアラート
◆日本オラクル サポート・サービス ポータルサイト