Oracleが定例パッチ公開、Javaなどの深刻な脆弱性に対処

Java SEには極めて深刻な脆弱性が多数存在するほか、富士通サーバM10-1、M10-4、M10-4SのXCPファームウェアにも、CVSSスコアで10.0の極めて深刻な脆弱性がある。

[鈴木聖子，ITmedia]

　米Oracleは1月20日、定例のクリティカルパッチアップデート（CPU）を公開し、データベースやE-Business Suite、Java SEなど多数の製品に存在する169件の脆弱性を修正した。

　特にJava SEには深刻な脆弱性が多数存在する。今回修正された19件のうち、14件はリモートで認証を経ずに悪用される恐れがあり、共通脆弱性評価システム（CVSS）で最大値の10.0に該当する極めて深刻な脆弱性も4件ある。

　これら脆弱性は、更新版の「Java SE 8 Update 31」「Java SE 7 Update 75／76」で修正された。

　また、Sun Systems Products Suiteのカテゴリに含まれる富士通サーバM10-1、M10-4、M10-4SのXCPファームウェアにも、CVSSスコアで10.0の極めて深刻な脆弱性が存在する。

　Oracle Database Serverでは計8件の脆弱性が修正された。最も危険度が高いものはCVSSスコアで9.0と評価されている。

　他にもFusion Middleware、E-Business Suite、MySQLなど多数の製品の脆弱性が修正された。E-Business Suiteの脆弱性のうち1件については、リモートの攻撃者にデータベースを制御される可能性も指摘されている。発見者のセキュリティ研究者、デービッド・リッチフィールド氏はこの問題についてTwitterで、「最初に発見した時は、クライアントに侵入されて攻撃者がバックドアを残したのだと思った」「調べてみると、この『バックドア』はシードされたインストレーションの一部だったことが分かり、愕然とした」とコメントしている。

　Oracleの次回CPUは、米国時間の2015年4月14日に公開される予定。