米Oracleは10月18日(米国時間)、予告通りにJavaの定例アップデートとデータベースなど各種製品の定例アップデートを公開し、多数の深刻な脆弱性に対処した。
Javaのアップデートとなる「Java SE Critical Patch Update」では合計20件の脆弱性に対処した。うち6件は危険度がCVSSベーススコアで最大値「10.0」の極めて深刻な脆弱性となる。
9月に発覚したSSL/TLSプロトコル関連の脆弱性に対処するパッチも盛り込まれた。この脆弱性を突かれると、SSL/TLS暗号をかわされてWebトラフィックの暗号を解除されてしまう恐れがあるとされる。CVSSベーススコアのリスクレベルは「4.3」となっている。
また、Java仮想マシン(JVM)の「Oracle JRockit」のパッチはこれまでFusion Middlewareのアップデートに組み込まれていたが、今回からJavaのアップデートの一部として提供されるようになった。
一方、Java以外のOracle製品のアップデート「Critical Patch Update」ではデータベースなどに存在する合計57件の脆弱性に対処した。対象となるのはDatabase Server、Fusion Middleware、E-Business Suite、Supply Chain Products Suite、PeopleSoft Enterprise、Siebel CRM、Health Sciences Applications、Oracle Linux、Oracle Virtualization、Sun Products Suiteの各製品。
このうちSun SolarisのLDAPライブラリに存在する脆弱性はCVSSベーススコアで「9.3」の深刻な脆弱性となり、Oracleはできるだけ早くアップデートを適用するよう呼び掛けている。
次回の定例アップデートはOracle製品向けが2012年1月17日、Java向けは同年2月14日に公開予定。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR