米Oracleは米国時間1月18日,同社のデータベースやアプリケーション・サーバー製品に見つかったセキュリティ・ホールをふさぐパッチを公開した(PDFファイル)。今回のパッチで修正されるセキュリティ・ホールの中には,サーバー上で任意のプログラムを勝手に実行されるような危険なセキュリティ・ホールが含まれる。影響を受ける製品を利用している企業/組織の管理者は,できるだけ早急にパッチを適用したい。
パッチの適用対象製品は以下のとおり(詳細については,同社の情報を参照してほしい)。データベース・サーバーおよびアプリケーション・サーバーの多くが対象となる。これらを含むスイート製品にもパッチを適用する必要がある。
- Oracle Database 10g Release 1, versions 10.1.0.2/10.1.0.3/10.1.0.3.1
- Oracle9i Database Server Release 2, versions 9.2.0.4/9.2.0.5/9.2.0.6
- Oracle9i Database Server Release 1, versions 9.0.1.4/9.0.1.5/9.0.4
- Oracle8i Database Server Release 3, version 8.1.7.4
- Oracle8 Database Release 8.0.6, version 8.0.6.3
- Oracle Application Server 10g Release 2 (10.1.2)
- Oracle Application Server 10g (9.0.4), versions 9.0.4.0/9.0.4.1
- Oracle9i Application Server Release 2, versions 9.0.2.3 and 9.0.3.1
- Oracle9i Application Server Release 1, version 1.0.2.2
- Oracle Collaboration Suite Release 2, version 9.0.4.2
- Oracle E-Business Suite and Applications Release 11i (11.5)
- Oracle E-Business Suite and Applications Release 11.0
今回公開されたパッチで修正されるセキュリティ・ホールの詳細は明らかにされていない。しかしながら,データベースあるいはアプリケーション・サーバー上で任意のプログラムやコマンドを実行できる危険なセキュリティ・ホールが含まれているようだ。
今回のパッチで修正されるセキュリティ・ホールのいくつかを発見した英NGSSoftwareは,3カ月後の4月18日にそれらの詳細を公表すると表明している。“猶予期間”を設けるのは,パッチの検証や適用のための時間を管理者に与えるためだ(関連記事)。詳細が公表されると,セキュリティ・ホールを悪用される可能性が高まる。上記製品の管理者はできるだけ早急にパッチを適用したい。パッチは同社の「MetaLink」からダウンロードできる。
なお,Oracleは米国時間11月18日,2005年からは同社製品のセキュリティ・パッチを四半期ごとに提供することを表明していた(関連記事)。2005年は,1月18日,4月12日,7月12日,10月18日――にパッチを提供するとしていた。つまり今回のパッチ提供は,当初のスケジュールに従ったものだった。次回のパッチ公開日は4月12日。それまでは,たとえ致命的なセキュリティ・ホールが見つかっても,パッチは公開されないと思われる。
◎参考資料
◆Critical Patch Update - January 2005(米Oracle,PDFファイル)
◆P-100: Oracle Critical Patch Update(米CIAC)
◆Multiple high risk vulnerabilities in Oracle RDBMS 10g/9i(Bugtraq)
◆Oracle 社製品のセキュリティアップデート(IPA/ISEC)
(勝村 幸博=IT Pro)
