データベースやFusion Middleware、Javaなどの製品に存在する多数の脆弱性を修正した。4月にサポートが終了するJava SE 7は今回のアップデートが最終になる見込みだ。
米Oracleは4月14日、定例のクリティカルパッチアップデート(CPU)を公開した。Oracle DatabaseやFusion Middleware、E-Business Suite、Javaなどの製品に存在する98件の脆弱性を修正している。
Oracle Databaseでは4件の脆弱性に対処した。いずれも認証を経ずにリモートから任意のコードを実行できてしまう。うち1件は共通脆弱性評価システム(CVSS)の値が「9.0」の危険な脆弱性で、Windows向けの12cよりも前のバージョンが影響を受ける。
Fusion Middlewareでは認証を経ずにリモートから任意のコードを実行できてしまうなどの17件の脆弱性を解決した。特にGNU Cライブラリ(glibc)のバッファオーバーフローの脆弱性は、CVSS値が最大の「10.0」に該当する深刻なものとなる。
Java更新版の「Java SE 8 Update 45」「Java SE 7 Update 79/80」では14件の脆弱性が修正された。うち11件の脆弱性は、悪用された場合にクライアント側でJava Web StartアプリケーションやJavaアプレットのサンドボックスを迂回されてしまう恐れがあり、CVSS値が10.0の脆弱性も3件ある。
Java SE 7については4月でサポートが終了するため、今回のCPUが最後になる見込み。
Oracleは、今回修正したJavaの脆弱性が既にサポートを終了しているJava SE 5や6などにも影響するとしており、次回のCPUではJava SE 7も危険な状況になる可能性が高い。同社やセキュリティ機関などではユーザーにJava SE 8へ移行するよう繰り返し呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.