Oracle製品に未パッチの脆弱性、セキュリティ企業が情報公開

Oracle製品の危険度「高」を含む脆弱性情報をセキュリティ企業が公開した。同社は2年前にOracleに報告したにもかかわらず修正がなされないので公開に踏み切ったという。（IDG）

[IDG Japan]

　ドイツのセキュリティ企業がOracleソフトの脆弱性6件に関する情報を公開した。うち3件は危険度が高く、同社によれば今月のOracleのセキュリティアップデートでも修正されていないという。

　この脆弱性はOracle ReportsとOracle Formsに存在し、それ以外のOracle製品にも間接的に影響する。情報が公開されたことで、ベンダーがパッチをリリースする前にセキュリティ専門家が脆弱性についての情報を公開すべきかどうかという問題が再び浮上しそうだ。

　Oracle製品を専門とするセキュリティ企業の独Red-Database-Securityによれば、この脆弱性については約2年前にOracleに報告したという。Oracleはその存在を認めたが、いまだに修正していないと、同社ビジネスディレクター、アレクサンダー・コルンブルスト氏は話す。

　コルンブルスト氏はOracleに対して4月、次回の定例セキュリティアップデートでこの問題を修正しなければ、Red-Database-Securityはこれに関する詳細を公表すると通告。Oracleは7月12日の累積パッチで49種類の脆弱性に対処したが、Red-Database-Securityが見つけた問題は修正しなかった。そこで同社は19日、情報を公開した。

　Red-Database-Securityでは脆弱性のうち3件を危険度「高」、2件を「中」、1件を「低」レベルと評価。危険度が高い脆弱性の1つでは、Oracle Application Serverのファイルが上書きされてしまう恐れがあるという。Oracle ReportsはOracle Application Serverのコンポーネントで、E-Businessアプリケーションスイートにも使われている。

　コルンブルスト氏によると、これら脆弱性は悪用が難しいものではなく、同製品の最近の全バージョンに影響する。「URLを入力するだけで済むものもある」と同氏。詳しい情報は回避策も含めて同社サイトに掲載されている。

　Oracleでは談話の中で、セキュリティを真剣に受け止めていると表明。セキュリティは深刻度の高いものから順番に修正していくのが同社の方針だと述べている。