Oracleが定例セキュリティパッチ公開、Javaなど253件の脆弱性を修正

[鈴木聖子，ITmedia]

　米Oracleは10月18日、四半期に1度のクリティカルパッチアップデート（CPU）を公開し、Java SEやDatabase Serverに存在する計253件の脆弱性を修正した。パッチを当てていない顧客が攻撃に遭う事例も報告されているとして、できるだけ早くCPUを適用するよう強く勧告している。

　今回のCPUはDatabase Server、E-Business Suite、業界向けアプリケーション、Fusion Middleware、Sun製品、Java SE、MySQLなどの製品が対象となる。

　Javaの脆弱性はJava SE 8 Update 102（8u102）までのバージョンが影響を受ける。危険度は最も高いもので、共通脆弱性評価システム（CVSS）3.0のベーススコアが9.6（最大値は10.0）と極めて高く、7件とも認証を経ずにリモートで悪用される恐れがある。これら脆弱性を修正したJava SE 8 Update 112（8u112）が同日公開された。

修正されたJavaの脆弱性

　また、Database ServerやFusion Middlewareなどの製品でも、危険度が9.6〜9.8と極めて高い脆弱性を修正している。

　次回のCPUは2017年1月17日に公開予定。

Oracle Databaseで修正された脆弱性