米Oracle、定例セキュリティ更新プログラム公開 データベースやFusion Middlewareに深刻な脆弱性

Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱性が修正された。

[鈴木聖子，ITmedia]

　米Oracleは4月16日、四半期に1度のセキュリティ更新プログラム「Critical Patch Update（CPU）」を公開した。Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱（ぜいじゃく）性を修正している。

　Oracleのセキュリティ情報によると、Oracle Database Serverでは計6件の脆弱性に対処した。うち1件は、危険度が共通指標CVSSのベーススコアで「9.1」（最高値は10.0）と極めて高い。

米Oracleが公開した四半期に1度のセキュリティ更新プログラム「Critical Patch Update（CPU）」

　Fusion Middlewareにも、CVSS「9.8」の極めて深刻な脆弱性が多数存在する。また、通信や建設、金融、小売りといった業界向けの製品、さらにはJD Edwards、Siebel CRM、Oracle Virtualizationなどの製品に存在する脆弱性についても、多数が危険度「9.8」と位置付けられている。

　Java SEについては危険度「9.0」の脆弱性を含めて5件の脆弱性が修正され、最新版の「Java SE 12.0.1」が公開された。

　Oracleではこうした脆弱性について、「Oracleがパッチをリリース済みの脆弱性を悪用しようとする試みについての報告が周期的に寄せられている。中には顧客がOracleのパッチ適用を怠ったために、攻撃が成功したという報告もある」と指摘し、「顧客には、サポート対象のバージョンを使用し、Critical Patch Updateを遅滞なく適用するよう強く勧告する」としている。

　次回のCPUは米国時間の7月16日に公開される。