Oracleが最新セキュリティパッチを公開 334の脆弱性に対処：セキュリティニュースアラート

Oracleは2024年10月の「Oracle Critical Patch Update Advisory」を公開した。このアップデートでは334の脆弱性が修正されている。緊急度の高い脆弱性も複数含まれるため注意が必要だ。

[後藤大地，有限会社オングス]

　Oracleは2024年10月15日（現地時間）、同年10月の「Oracle Critical Patch Update Advisory」を発行した。広範囲に渡るOracle製品のセキュリティ情報が提供されている。

　該当製品に脆弱（ぜいじゃく）性が存在しているかどうかを確認するとともに、脆弱性が存在する場合には直ちに詳細を確認し、更新や対策を実施することが望まれている。

Java SEやMySQL、Enterprise Managerも対象に　提供パッチの詳細

　Oracle Critical Patch Update Advisoryには334のセキュリティパッチが含まれている。影響を受ける製品およびバージョンは以下の通りだ。

• Autonomous Health Framework 24.9より前のバージョン
• GoldenGate Stream Analytics 19.1.0.0.0-19.1.0.0.9
• Management Cloud Engine 24.1.0.0.0
• MySQL Client 8.0.39およびこれ以前のバージョン、8.4.2およびこれ以前のバージョン、9.0.1およびこれ前のバージョン
• MySQL Cluster 7.5.35およびこれ以前のバージョン、7.6.31およびこれ以前のバージョン、8.0.39およびこれ以前のバージョン、8.4.2およびこれ以前のバージョン、9.0.1およびこれ以前のバージョン
• MySQL Connectors 9.0.0およびこれ以前のバージョン
• MySQL Enterprise Backup 8.0.39およびこれ以前のバージョン、8.4.2およびこれ以前のバージョン、9.0.1およびこれ以前のバージョン
• MySQL Enterprise Monitor 8.0.39およびこれ以前のバージョン
• MySQL Server 8.0.39およびこれ以前のバージョン、8.4.2およびこれ以前のバージョン、9.0.1およびこれ以前のバージョン
• MySQL Shell 8.0.38およびこれ以前のバージョン、8.4.1およびこれ以前のバージョン、9.0.1およびこれ以前のバージョン
• MySQL Workbench 8.0.38およびこれ以前のバージョン
• Oracle Access Manager 12.2.1.4.0
• Oracle Agile PLM 9.3.6
• Oracle Application Express 23.1、23.2、24.1
• Oracle Application Testing Suite 13.3.0.1
• Oracle Autovue for Agile Product Lifecycle Management 21.1.0
• Oracle Banking API 19.2.0.0.0、21.1.0.0.0、22.1.0.0.0、22.2.0.0.0
• Oracle Banking Cash Management 14.7.4.0.0、14.7.5.0.0
• Oracle Banking Corporate Lending Process Management 14.4.0.0.0、14.5.0.0.0、14.6.0.0.0、14.7.0.0.0
• Oracle Banking Digital Experience 19.2.0.0.0、21.1.0.0.0、22.1.0.0.0、22.2.0.0.0
• Oracle Banking Liquidity Management 14.5.0.12.0、14.7.0.6.0、14.7.4.0.0、14.7.5.0.0
• Oracle Banking Supply Chain Finance 14.7.4.0.0、14.7.5.0.0
• Oracle BI Publisher 7.0.0.0.0、7.6.0.0.0、12.2.1.4.0
• Oracle Blockchain Platform 21.1.2
• Oracle Business Activity Monitoring 12.2.1.4.0
• Oracle Business Intelligence Enterprise Edition 7.0.0.0.0、7.6.0.0.0、12.2.1.4.0
• Oracle Business Process Management Suite 12.2.1.4.0
• Oracle Commerce Guided Search 11.3.2、11.4.0
• Oracle Commerce Platform 11.3.0、11.3.1、11.3.2
• Oracle Communications ASAP 7.4.3.0.2
• Oracle Communications Cloud Native Core Automated Test Suite 23.4.3、23.4.4、24.1.1、24.2.2
• Oracle Communications Cloud Native Core Binding Support Function 23.4.0-23.4.5
• Oracle Communications Cloud Native Core Certificate Management 23.4.2、23.4.3、24.2.0
• Oracle Communications Cloud Native Core Console 23.4.2、24.2.0
• Oracle Communications Cloud Native Core DBTier 24.1.0、24.2.0
• Oracle Communications Cloud Native Core Network Function Cloud Native Environment 23.4.0、24.1.0-24.2.0
• Oracle Communications Cloud Native Core Network Repository Function 23.4.4、24.2.1
• Oracle Communications Cloud Native Core Network Slice Selection Function 24.2.0、24.2.1
• Oracle Communications Cloud Native Core Policy 23.4.0-23.4.6
• Oracle Communications Cloud Native Core Security Edge Protection Proxy 23.4.2、24.2.0
• Oracle Communications Cloud Native Core Service Communication Proxy 23.4.0、24.1.0、24.2.0
• Oracle Communications Cloud Native Core Unified Data Repository 24.2.0
• Oracle Communications Convergent Charging Controller 6.0.1.0.0、12.0.1.0.0-12.0.6.0.0、15.0.0.0.0
• Oracle Communications Core Session Manager 9.1.5
• Oracle Communications EAGLE Application Processor 17.0.1
• Oracle Communications IP Service Activator 7.4.0、7.5.0
• Oracle Communications LSMS 14.0.0.1
• Oracle Communications Messaging Server 8.1
• Oracle Communications Network Analytics Data Director 23.4.0、24.1.0、24.2.0
• Oracle Communications Network Charging and Control 6.0.1.0.0、12.0.1.0.0-12.0.6.0.0、15.0.0.0.0
• Oracle Communications Operations Monitor 5.1、5.2
• Oracle Communications Order and Service Management 7.4.0、7.4.1、7.5.0
• Oracle Communications Performance Intelligence Center 10.4.0.4より前のバージョン
• Oracle Communications Policy Management 12.6.1.0.0、15.0.0.0.0
• Oracle Communications Session Border Controller 9.1.0、9.2.0、9.3.0
• Oracle Communications Unified Assurance 5.5.0-5.5.22、6.0.0-6.0.5
• Oracle Communications User Data Repository 12.11.0、14.0
• Oracle Data Integrator 12.2.1.4.0
• Oracle Database Server 19.3-19.24、21.3-21.15、23.4-23.5
• Oracle E-Business Suite 12.2.3-12.2.14、[ECC] 11-13
• Oracle Enterprise Communications Broker 4.1.0、4.2.0
• Oracle Enterprise Data Quality 12.2.1.4.0
• Oracle Enterprise Manager Base Platform 12.2.1.4.0、13.5.0.0
• Oracle Enterprise Manager for Fusion Middleware 12.2.1.4.0
• Oracle Enterprise Manager for Peoplesoft 13.5.1.1.0
• Oracle Enterprise Manager Fusion Middleware Control 12.2.1.4.0
• Oracle Enterprise Operations Monitor 5.1、5.2
• Oracle Essbase 21.6
• Oracle Financial Services Compliance Studio 8.1.2.7、8.1.2.8
• Oracle Financial Services Revenue Management and Billing 3.0.0.0.0、4.0.0.0.0、5.0.0.0.0
• Oracle Global Lifecycle Management FMW Installer 12.2.1.4.0
• Oracle GoldenGate Big Data and Application Adapters 19.1.0.0.0-19.1.0.0.9
• Oracle GraalVM Enterprise Edition 20.3.15、21.3.11
• Oracle GraalVM for JDK 17.0.12、21.0.4、23
• Oracle Graph Server and Client 23.4.3、24.3.0
• Oracle Hospitality Cruise Shipboard Property Management System 23.1.3
• Oracle Hospitality OPERA 5 5.6.19.19、5.6.25.8、5.6.26.4
• Oracle Hospitality Simphony 19.1.0-19.6.2
• Oracle HTTP Server 12.2.1.4.0、14.1.1.0.0
• Oracle Hyperion BI+ 11.2.18.0.0
• Oracle Hyperion Financial Management 11.2.18.0.0
• Oracle Hyperion Infrastructure Technology 11.2.18.0.0
• Oracle Identity Manager Connector 11.1.1.5.0、12.2.1.3.0
• Oracle Java SE 8u421、8u421-perf、11.0.24、17.0.12、21.0.4、23
• Oracle Managed File Transfer 12.2.1.4.0
• Oracle Middleware Common Libraries and Tools 12.2.1.4.0
• Oracle NoSQL Database 1.5.0、20.3.40、21.2.71、22.3.45、23.3.33、24.1.17
• Oracle Outside In Technology 8.5.7
• Oracle Retail Customer Management and Segmentation Foundation 19.0.0.10
• Oracle Retail EFTLink 20.0.1、21.0.0、22.0.0、23.0.0
• Oracle SD-WAN Aware 9.0.1.10.0
• Oracle SD-WAN Edge 9.1.1.3.0、9.1.1.5.0-9.1.1.8.0、9.1.1.9.0
• Oracle Secure Backup 18.1.0.1.0、18.1.0.2.0、19.1.0.0.0
• Oracle Service Bus 12.2.1.4.0
• Oracle Solaris Cluster 4
• Oracle SQL Developer 23.1.0、24.3.0
• Oracle Utilities Application Framework 4.0.0.0.0、4.0.0.2.0、4.0.0.3.0、4.3.0.3.0-4.3.0.6.0、4.5.0.0.0
• Oracle Utilities Network Management System 2.3.0.2.34、2.4.0.1.25、2.5.0.1.14、2.5.0.2.8、2.6.0.1.5
• Oracle VM VirtualBox 7.0.22より前のバージョン、7.1.2より前のバージョン
• Oracle WebCenter Forms Recognition 14.1.1.0.0
• Oracle WebCenter Portal 12.2.1.4.0
• Oracle WebCenter Sites 12.2.1.4.0
• Oracle WebLogic Server 12.2.1.4.0、14.1.1.0.0
• PeopleSoft Enterprise CC Common Application Objects 9.2
• PeopleSoft Enterprise ELM Enterprise Learning Management 9.2
• PeopleSoft Enterprise FIN Expenses 9.2
• PeopleSoft Enterprise HCM Global Payroll Core 9.2.48-9.2.50
• PeopleSoft Enterprise PeopleTools 8.59、8.60、8.61
• Siebel Applications 24.7およびこれ以前のバージョン

　特に以下の脆弱性は共通脆弱性評価システム（CVSS）のスコア値が9以上で深刻度「緊急」（Critical）に分類されていることから注意が必要だ。

• CVE-2022-46337：　Oracle Commerce Guided Search（CVSS：9.8）
• CVE-2024-45492：　Oracle Communications Unified Assurance（CVSS：9.8）
• CVE-2024-45492：　Oracle Communications Cloud Native Core Unified Data Repository（CVSS：9.8）
• CVE-2023-38408：　Oracle Enterprise Communications Broker（CVSS：9.8）
• CVE-2024-4577：　Oracle SD-WAN Aware（CVSS：9.8）
• CVE-2023-6816：　Oracle SD-WAN Edge（CVSS：9.8）
• CVE-2022-2068：　Oracle SD-WAN Edge（CVSS：9.8）
• CVE-2024-37371：　Oracle Communications Cloud Native Core Binding Support Function（CVSS：9.1）
• CVE-2024-37371：　Oracle Communications Cloud Native Core Network Repository Function（CVSS：9.1）
• CVE-2024-37371：　Oracle Communications Cloud Native Core Policy（CVSS：9.1）
• CVE-2024-37371：　Oracle Communications Cloud Native Core Security Edge Protection Proxy（CVSS：9.1）
• CVE-2024-37371：　Oracle Communications Cloud Native Core Service Communication Proxy（CVSS：9.1）
• CVE-2024-29736：　Oracle Communications Cloud Native Core Unified Data Repository（CVSS：9.1）
• CVE-2024-37371：　Oracle Communications Cloud Native Core Unified Data Repository（CVSS：9.1）
• CVE-2024-37371：　Oracle Communications Network Analytics Data Director（CVSS：9.1）
• CVE-2022-36760：　Oracle SD-WAN Edge（CVSS：9.0）
• CVE-2022-34381：　Oracle Enterprise Manager Base Platform（CVSS：9.8）
• CVE-2024-5535：　Oracle Banking Cash Management（CVSS：9.1）
• CVE-2024-5535：　Oracle Banking Supply Chain Finance（CVSS：9.1）
• CVE-2024-45492：　Oracle Outside In Technology（CVSS：9.8）
• CVE-2024-21216：　Oracle WebLogic Server（CVSS：9.8）
• CVE-2024-28752：　Oracle WebCenter Forms Recognition（CVSS：9.3）
• CVE-2022-23305：　Oracle Business Intelligence Enterprise Edition（CVSS：9.8）
• CVE-2023-38545：　Oracle Business Intelligence Enterprise Edition（CVSS：9.8）
• CVE-2024-29736：　Oracle BI Publisher（CVSS：9.1）
• CVE-2024-21172：　Oracle Hospitality OPERA 5（CVSS：9.0）
• CVE-2024-37371：　MySQL Cluster（CVSS：9.1）
• CVE-2024-5535：　MySQL Cluster（CVSS：9.1）
• CVE-2024-5535：　MySQL Connectors（CVSS：9.1）
• CVE-2024-5535：　MySQL Connectors（CVSS：9.1）
• CVE-2024-5535：　MySQL Enterprise Backup（CVSS：9.1）
• CVE-2024-5535：　MySQL Enterprise Monitor（CVSS：9.1）
• CVE-2024-5535：　MySQL Server（CVSS：9.1）
• CVE-2024-5535：　MySQL Workbench（CVSS：9.1）
• CVE-2022-46337：　Oracle Solaris Cluster（CVSS：9.8）

　Oracle Critical Patch Update AdvisoryはOracleが年に4回（1月、4月、7月、10月の第3火曜日）リリースするセキュリティアップデートプログラムだ。Oracle製品の代表的な製品に関して広範囲にわたって発見された脆弱性に対応する。Oracleの顧客はこのセキュリティアドバイザリーの公開に合わせて使用している製品にパッチを適用することが求められる。

　なお、Oracle Critical Patch Update Advisoryは全ての製品やバージョンを網羅しているわけではない。対象外の製品に関しては個別に脆弱性情報を確認する必要がある。