Oracleパッチの早急な適用を――Gartnerが勧告

今回の脆弱性の及ぶ範囲と深刻さを考えると、多大な不安を感じるとGartner。できるだけ早くパッチを当て、Oracleのセキュリティ管理の姿勢を改めさせるべきだと呼び掛けている。

[ITmedia]

　Oracleが先日リリースした累積セキュリティアップデートについて、できるだけ早期の適用を呼び掛けるアドバイザリーを調査会社のGartnerが公開した。

　Oracleは1月17日にリリースしたパッチで、データベースやアプリケーションサーバ、PeopleSoftアプリケーションなど複数製品にかかわる82件の脆弱性を修正した。Gartnerでは、今回の脆弱性の及ぶ範囲と深刻さを考えると、多大な不安を感じると述べている。

　データベース製品だけでも37件の脆弱性があり、簡単に悪用できてしまうものも多いほか、一部ではリモートからデータベースにアクセスされる恐れがあるとGartnerは指摘。Oracle製品のセキュリティ問題が大規模に悪用されたケースはこれまでなかったが、今後もないとは言い切れないと警告している。

　Oracle管理者はシステムに定期的なパッチを当てるのを怠っていることも多く、サポート期限が切れたレガシー版と連動しているため、パッチが不可能なこともあるが、そうした慣行はもはや受け入れ難いとGartner。

　Oracleのデータベースとアプリケーションを使っている企業に対しては、できるだけ早くパッチを当てるとともに、ファイアウォールや侵入検知システムなどを使って直ちにシステムの防御を講じるよう勧告。Oracleでは脆弱性について非常に限定的な情報しか公開せず、パッチの質と使いやすさにも改善の余地があるとして、顧客からOracleに対して圧力をかけ、セキュリティ管理の姿勢を改めさせるべきだと呼び掛けている。