米Oracleは米国時間7月18日,同社のデータベース・サーバーやアプリケーション・サーバー製品などに複数のセキュリティ・ホールが見つかったことを明らかにするとともに,四半期ごとの定例パッチ(Critical Patch Update:CPU)を公開した。セキュリティ・ホールを悪用されると,SQLインジェクションを許したり,セキュリティ機構を回避されたりする恐れがある。同社製品の管理者はできるだけ早急に対応したい。
影響を受ける製品は以下の通り。
- Oracle Database 10g Release 2 version 10.2.0.1/10.2.0.2
- Oracle Database 10g Release 1 version 10.1.0.3/10.1.0.4/10.1.0.4.2/10.1.0.5
- Oracle Enterprise Manager 10g Grid Control version 10.2.0.1
- Oracle Application Server 10g Release 3 version 10.1.3.0.0
- Oracle Application Server 10g Release 2 versions 10.1.2.0.0 - 10.1.2.0.2,10.1.2.1.0
- Oracle Application Server 10g Release 1 (9.0.4) version 9.0.4.1/9.0.4.2/9.0.4.3
- Oracle Collaboration Suite 10g Release 1 version 10.1.2.0
- Oracle9i Collaboration Suite Release 2 version 9.0.4.2
- Oracle E-Business Suite Release 11.0/11i versions 11.5.7 - 11.5.10 CU2
- Oracle Pharmaceutical Applications versions 4.5.0 - 4.5.2
- Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal version 8.4/8.8/8.9
- Oracle PeopleSoft Enterprise Portal Solutions Enterprise Portal with Enforcer Portal Pack version 8.8
- JD Edwards EnterpriseOne Tools OneWorld Tools version 8.95/8.96
- Oracle Application Server Portal version 10.1.4.0.0
- Oracle Developer Suite version 6i 9.0.4.2
- Oracle Workflow versions 11.5.1 - 11.5.9.5
- Oracle9i Database Release 2 version 9.2.0.5/9.2.0.6/9.2.0.7
- Oracle8i Database Release 3 version 8.1.7.4
- Oracle9i Database Release 1 version 9.0.1.4/9.0.1.5/9.0.1.5 FIPS
- Oracle9i Application Server Release 2 version 9.0.2.3/9.0.3.1
- Oracle9i Application Server Release 1 version 1.0.2.2
- Oracle8 Database Release 8.0.6 version 8.0.6.3
製品ごとの影響度などは,マトリクスとして同社ページにまとめられている。対策はパッチを適用すること。顧客向けサポート・サイト「MetaLink」から入手できる。
2005年以降,Oracleでは,同社製品のセキュリティ・パッチを四半期ごとにリリースしている(関連記事:米Oracleもセキュリティ・パッチを定期刊行化)。公開日は,毎年1月/4月/7月/10月の15日に最も近い火曜日(米国時間)。次回の公開日は10月17日。