Oracle、セキュリティパッチのパッチをリリース

Oracleは、4月の月例アップデートを修正した7月のアップデートをさらに修正する、「パッチのパッチのパッチ」を公開した。（IDG）

[IDG Japan]

　Oracleは、先にリリースしたパッチの問題を修正するため2種類のデータベースパッチを公開した。今回対応されたパッチの1つは、以前リリースされたパッチを修正するもの。つまりパッチのためのパッチのためのパッチということになる。

　これとは別に、オープンソースのデータベース管理システムMySQLで深刻な脆弱性が表面化した。攻撃者にリモートからシステムを乗っ取られてしまう恐れがある。

　Oracleは数日前、セキュリティアップデート2種類に問題が見つかったことを明らかにした。このうち1つは、Oracleデータベースとアプリケーションサーバのセキュリティ問題70種類に対処した4月の重要なアップデートに関するもの。Oracleは今月に入り、4月のアップデートに欠陥があったことを認めた。しかし同社は数日前、顧客宛ての電子メールで、4月のアップデートを修正した7月のフィックスも、適切に機能しないことを認めた。

　Oracleは7月にも定例の四半期アップデートをリリースしている。このアップデートでは4月のアップデートの問題を修正したが、7月のアップデート自体にも問題があり、Oracle Database 10.1.0.3と10.1.0.4、およびOracle Enterprise Managerに問題を引き起こしていると、Oracleは数日前に顧客に宛てた電子メールで説明。影響を受けるデータベースとEnterprise Managerを実行している顧客に対し、アップデート版のダウンロードを呼び掛けている。

　一方、MySQLのアドバイザリーによれば、MySQLにはzlib圧縮ライブラリに関連した脆弱性が存在する。バッファオーバーフローの脆弱性があるバージョンのzlibがMySQLに含まれており、細工を施した圧縮ストリームをネットワーク通信あるいはアプリケーションファイルフォーマットに組み込む形で悪用される恐れがあるという。

　MySQLではこの問題に対処したアップデート版の4.1.13をリリース。併せて、深刻度は低いが攻撃者がさまざまな手法でサーバをクラッシュさせることができてしまう問題も修正している。