Oracleが定例パッチを公開、Java 7は最終更新へ

データベースやFusion Middleware、Javaなどの製品に存在する多数の脆弱性を修正した。4月にサポートが終了するJava SE 7は今回のアップデートが最終になる見込みだ。

[ITmedia]

　米Oracleは4月14日、定例のクリティカルパッチアップデート（CPU）を公開した。Oracle DatabaseやFusion Middleware、E-Business Suite、Javaなどの製品に存在する98件の脆弱性を修正している。

　Oracle Databaseでは4件の脆弱性に対処した。いずれも認証を経ずにリモートから任意のコードを実行できてしまう。うち1件は共通脆弱性評価システム（CVSS）の値が「9.0」の危険な脆弱性で、Windows向けの12cよりも前のバージョンが影響を受ける。

　Fusion Middlewareでは認証を経ずにリモートから任意のコードを実行できてしまうなどの17件の脆弱性を解決した。特にGNU Cライブラリ（glibc）のバッファオーバーフローの脆弱性は、CVSS値が最大の「10.0」に該当する深刻なものとなる。

　Java更新版の「Java SE 8 Update 45」「Java SE 7 Update 79/80」では14件の脆弱性が修正された。うち11件の脆弱性は、悪用された場合にクライアント側でJava Web StartアプリケーションやJavaアプレットのサンドボックスを迂回されてしまう恐れがあり、CVSS値が10.0の脆弱性も3件ある。

　Java SE 7については4月でサポートが終了するため、今回のCPUが最後になる見込み。

　Oracleは、今回修正したJavaの脆弱性が既にサポートを終了しているJava SE 5や6などにも影響するとしており、次回のCPUではJava SE 7も危険な状況になる可能性が高い。同社やセキュリティ機関などではユーザーにJava SE 8へ移行するよう繰り返し呼び掛けている。