米Oracleは米国時間7月12日,複数の同社製品に見つかったセキュリティ・ホールをふさぐパッチ(Critical Patch Update)を公開した。今回のパッチで修正されるセキュリティ・ホールの中には,任意のコード(プログラム)を実行されたり,SQLインジェクション攻撃を許したりする危険なものが複数含まれるので,同社製品を利用するサーバーの管理者は早急に対応したい。
今回のパッチの適用対象になるのは,以下の製品群である。
- Oracle Database 10g Release 1, v 10.1.0.2/10.1.0.3/10.1.0.4
- Oracle9i Database Server Release 2, v 9.2.0.5/9.2.0.6
- Oracle9i Database Server Release 1, v 9.0.1.4/9.0.1.5/9.0.1.5 FIPS
- Oracle8i Database Server Release 3, v 8.1.7.4
- Oracle8 Database Release 8.0.6/8.0.6.3
- Oracle Enterprise Manager Grid Control 10g, v 10.1.0.2/10.1.0.3
- Oracle Enterprise Manager 10g Database Control, v 10.1.0.2/10.1.0.3/10.1.0.4
- Oracle Enterprise Manager Application Server Control, v 9.0.4.0/9.0.4.1
- Oracle Application Server 10g (9.0.4), v 9.0.4.0/9.0.4.1
- Oracle9i Application Server Release 2, v 9.0.2.3/9.0.3.1
- Oracle9i Application Server Release 1, v 1.0.2.2
- Oracle Collaboration Suite Release 2, v 9.0.4.1/9.0.4.2
- Oracle E-Business Suite and Applications Release 11i, v 11.5.1-11.5.10
- Oracle E-Business Suite and Applications Release 11.0
- Oracle Workflow, v 11.5.1-11.5.9.5
- Oracle Forms and Reports, v 4.5.10.22/6.0.8.25
- Oracle JInitiator, v 1.1.8/1.3.1
- Oracle Developer Suite, v 9.0.2.3/9.0.4/9.0.4.1/9.0.5/10.1.2
- Oracle Express Server, v 6.3.4.0
パッチは,同社の「MetaLink」サイトからダウンロードできる。
Oracleでは,2005年から,同社製品のセキュリティ・パッチを四半期ごとにまとめて提供するようにしている(関連記事)。2005年は,1月18日,4月12日,7月12日,10月18日――にパッチを提供すると発表していた。今回のパッチ公開は予定通り。次回のパッチは米国時間10月18日に公開される。
◎参考資料
◆Critical Patch Update - July 2005
(勝村 幸博=IT Pro)
