米Oracleは現地時間4月18日,同社のデータベース・サーバーやアプリケーション・サーバー製品などに複数のセキュリティ・ホールが見つかったことを明らかにした。同時に,“定例パッチ(Critical Patch Update:CPU)”を公開。危険なセキュリティ・ホールが複数含まれるので,できるだけ早急に対応したい。
影響を受ける製品は以下の通り。
- Oracle9i Database Release 1 version 9.0.1.5 FIPS/9.0.1.5/9.0.1.4
- Oracle9i Database Release 2 version 9.2.0.6/9.2.0.7
- Oracle9i Collaboration Suite Release 2 version 9.0.4.2
- Oracle9i Application Server Release 1 version 1.0.2.2
- Oracle8i Database Release 3 version 8.1.7.4
- Oracle8 Database Release 8.0.6 version 8.0.6.3
- Oracle Workflow versions 11.5.1-11.5.9.5
- Oracle Pharmaceutical Applications versions 4.5.0-4.5.2
- Oracle PeopleSoft Enterprise Tools versions 8.46GA-8.46.12/8.47GA-8.47.04
- Oracle Enterprise Manager 10g Grid Control version 10.1.0.3/10.1.0.4/10.2.0.1
- Oracle E-Business Suite Release 11.0/11i versions 11.5.1-11.5.10 CU2
- Oracle Developer Suite version 6i/9.0.4.2
- Oracle Database 10g Release 1 version 10.1.0.4/10.1.0.4.2/10.1.0.5
- Oracle Database 10g Release 2 version 10.2.0.1/10.2.0.2
- Oracle Collaboration Suite 10g Release 1 version 10.1.1/10.1.2.0/10.1.2.1
- Oracle Application Server 10g Release 2 version 10.1.2.0.0-10.1.2.0.2/10.1.2.1.0/10.1.3.0.0
- Oracle Application Server 10g Release 1 version 9.0.4.1/9.0.4.2
- JD Edwards EnterpriseOne Tools versions 8.95~8.95.J1
- OneWorld Tools versions 8.95~8.95.J1
セキュリティ・ホールの深刻度(リスク)は,製品/コンポーネントによって異なる。同社では,製品ごとのリスクをマトリクスにしてまとめている。
セキュリティ・ホールの詳細については明らかにされていないが,リモートから情報を操作されたり,任意のコードを実行されたりする恐れがある危険なセキュリティ・ホールが含まれているので,同社製品の管理者はできるだけ早急に対応したい。
対策は定例パッチを適用すること。パッチは,顧客向けサポート・サイト「MetaLink」から入手できる。
定例パッチは,四半期ごとにリリースされている(関連記事)。次回のリリース日は7月18日を予定している。
◎参考資料
◆Oracle Critical Patch Update - April 2006