Oracleが定例パッチを公開、Java 7は最終更新へ
データベースやFusion Middleware、Javaなどの製品に存在する多数の脆弱性を修正した。4月にサポートが終了するJava SE 7は今回のアップデートが最終になる見込みだ。
米Oracleは4月14日、定例のクリティカルパッチアップデート(CPU)を公開した。Oracle DatabaseやFusion Middleware、E-Business Suite、Javaなどの製品に存在する98件の脆弱性を修正している。
Oracle Databaseでは4件の脆弱性に対処した。いずれも認証を経ずにリモートから任意のコードを実行できてしまう。うち1件は共通脆弱性評価システム(CVSS)の値が「9.0」の危険な脆弱性で、Windows向けの12cよりも前のバージョンが影響を受ける。
Fusion Middlewareでは認証を経ずにリモートから任意のコードを実行できてしまうなどの17件の脆弱性を解決した。特にGNU Cライブラリ(glibc)のバッファオーバーフローの脆弱性は、CVSS値が最大の「10.0」に該当する深刻なものとなる。
Java更新版の「Java SE 8 Update 45」「Java SE 7 Update 79/80」では14件の脆弱性が修正された。うち11件の脆弱性は、悪用された場合にクライアント側でJava Web StartアプリケーションやJavaアプレットのサンドボックスを迂回されてしまう恐れがあり、CVSS値が10.0の脆弱性も3件ある。
Java SE 7については4月でサポートが終了するため、今回のCPUが最後になる見込み。
Oracleは、今回修正したJavaの脆弱性が既にサポートを終了しているJava SE 5や6などにも影響するとしており、次回のCPUではJava SE 7も危険な状況になる可能性が高い。同社やセキュリティ機関などではユーザーにJava SE 8へ移行するよう繰り返し呼び掛けている。
関連キーワード
Java | 脆弱性 | Oracle(オラクル) | Oracle E-Business Suite | Oracle Fusion Middleware | Oracle Database
関連記事
- オラクルがJavaの更新調査サービス、4割のユーザーにサポート切れのリスクも
- Java SE 7のサポート切れ間近、バージョンアップを検討して!
- Microsoft、11件の月例セキュリティ情報を公開 IEなどの脆弱性を修正
- Adobe、Flash Playerなどの脆弱性を修正
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.