米Oracleは米国時間4月12日,複数の同社製品に見つかったセキュリティ・ホールをふさぐパッチを公開した(PDFファイル)。パッチの適用対象はデータベース・サーバーやアプリケーション・サーバー,これらを含むスイート製品などと多岐にわたる。任意のプログラムを実行されるようなセキュリティ・ホールが含まれるので,同社製品の管理者はできるだけ早急に対応したい。
同社は,セキュリティ・パッチを四半期ごとにまとめて提供することを表明している(関連記事)。今回のパッチ公開は,当初の予定通りである(関連記事)。なお,前回のパッチ公開は1月18日,次回の公開予定日は7月12日である。
パッチの適用対象製品は以下の通り。
- Oracle Database 10g Release 1, v 10.1.0.2/10.1.0.3/10.1.0.3.1/10.1.0.4
- Oracle9i Database Server Release 2, v 9.2.0.5/9.2.0.6
- Oracle9i Database Server Release 1, v 9.0.1.4/9.0.1.5/9.0.4 (9.0.1.5 FIPS)
- Oracle8i Database Server Release 3, v 8.1.7.4
- Oracle Application Server 10g Release 2 (10.1.2)
- Oracle Application Server 10g (9.0.4), v 9.0.4.0/9.0.4.1
- Oracle9i Application Server Release 2, v 9.0.2.3/9.0.3.1
- Oracle9i Application Server Release 1, v 1.0.2.2
- Oracle Collaboration Suite Release 2, versions 9.0.4.1, 9.0.4.2
- Oracle E-Business Suite and Applications Release 11i, v 11.5.0~11.5.10
- Oracle E-Business Suite and Applications Release 11.0
- Oracle Enterprise Manager Grid Control 10g, v 10.1.0.2/10.1.0.3
- Oracle Enterprise Manager v 9.0.4.0/9.0.4.1
- PeopleSoft EnterpriseOne Applications, v 8.9 SP2/8.93
- PeopleSoft OneWorldXe/ERP8 Applications, v SP22以上(SP22を含む)
なお,サポート切れの製品については,セキュリティ・ホールが見つかっていてもパッチは提供されないので注意が必要。詳細については,同社が提供する情報を参照してほしい。
前回のパッチ公開時と同じように,セキュリティ・ホールの詳細については明らかにされていない。だが,今回のパッチで解消されるセキュリティ・ホールのいくつかを発見した英NGSSoftwareによると,ハイ・リスクのセキュリティ・ホールが複数含まれるという。仏FrSIRTでは,任意のプログラムを実行されるようなセキュリティ・ホールや,DoS(サービス妨害)攻撃やSQLインジェクション攻撃を許すようなセキュリティ・ホールが含まれると予想する。
危険なセキュリティ・ホールが含まれることはほぼ間違いない。対象製品を稼働させているサーバーの管理者は,できるだけ早くパッチを適用したい。パッチは「MetaLink」サイトから入手できる。
NGSSoftwareでは,同社が発見したセキュリティ・ホールの詳細を,3カ月後の7月12日に公表するとしている。この方針も,前回のパッチが公開されたときと同じである。前回のパッチが公開されたのは1月18日なので,4月18日には前回のセキュリティ・ホールの詳細がNGSSoftwareから公開される予定である。Oracle製品の管理者は,今回のパッチだけではなく,前回のパッチについても確認しておきたい。
◎参考資料
◆Critical Patch Update - April 2005(米Oracle,PDFファイル)
◆[VulnWatch] Multiple High Risk flaws fixed in Oracle(英NGSSoftware)
◆Oracle Products Multiple Security Vulnerabilities (April 2005)(仏FrSIRT)
(勝村 幸博=IT Pro)
