Oracleが定例パッチを公開、脆弱性放置で重大情報が流出する事例も

Javaやデータベースなどの極めて深刻な脆弱性が修正された。Oracleのパッチを適用していないために、重大な情報を流出させかねない自治体や大学のWebサイトが多数見つかったとの報告もある。

» 2014年10月16日 07時29分 公開
[鈴木聖子,ITmedia]

 米Oracleは10月14日、定例の「クリティカルパッチアップデート」(CPU)を公開し、Javaやデータベースなど同社の幅広い製品に存在する計154件の脆弱性を修正した。「ユーザーがパッチを適用していないために脆弱性が悪用される具体的な事例が報告された」として、できるだけ早くCPUを適用するよう改めて強く促している。

 CPUはJava SEやOracle Databaseをはじめ、同社の幅広い製品が対象になる。

 中でもJava SEで修正された25件の脆弱性の中には、危険度が共通脆弱性評価システム(CVSS)で最大値の「10.0」が1件、「9.3」が5件など、極めて深刻なものが多数ある。これら脆弱性を修正する「Java SE 8 Update 25」「Java SE 7 Update 71/72」も公開された。

 また、Oracle Databaseでは31件の脆弱性が修正された。こちらも危険度「9.0」の深刻な脆弱性が多数含まれている。

 JavaをはじめとするOracle製品では、ユーザーがパッチを適用しないまま放置されるケースも多く、攻撃の温床になっている実態が以前から報告されていた。最近も、1年以上パッチを適用せず、個人情報が大量に流出する恐れのある自治体などのWebサイトが大量に見つかったという。

 セキュリティ企業Rhino Security Labsは、Oracleのパッチを適用していないために、例えば市民の犯罪歴や生活支援の対象となった家庭や子供の情報、学生や職員の資産情報や個人情報といった重大な情報を流出させかねない自治体サイトや有名大学などのWebサイトが多数存在すると報告している。

 Oracleの次回CPUは、米国時間の2015年1月20日に公開される予定となっている。

関連キーワード

脆弱性 | Oracle(オラクル) | Java | パッチ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ