オラクル、セキュリティ・パッチに関する事前通知を開始
米国オラクルは1月11日、配布予定のセキュリティ・パッチの内容を事前に顧客企業の管理者に通知することを明らかにした。パッチ適用の準備を促し、「ゼロデイ攻撃」に備えさせるのがねらいと見られる。
セキュリティ・パッチの内容を事前に通知することはすでにマイクロソフトが行っているが、オラクルでは今回が初めての試みとなる。これには、過去にオラクルが複雑な適用手順を必要とするセキュリティ・パッチを短期間に連発し、顧客から批判の声が上がっていたことが背景にあるようだ。
すでに、1月16日に公開される予定のセキュリティ・パッチに関する情報が、1月11日より同社のWebサイトで公開されている。
それによると、1月16日から提供が開始されるセキュリティ・パッチの数は、データベース・サーバとアプリケーション・サーバを中心に51個に上っている。そのうちデータベース・サーバ(Oracle Database 10g、Oracle 9i、Oracle 8i)向けのセキュリティ・パッチは27個に及び、なかには深刻な脆弱性に対するパッチも含まれているという。
同社では、深刻な脆弱性は約10カ所あり、脆弱性のあるソフトウェアを利用していると、匿名の攻撃者からネットワーク経由でデータを改竄されるおそれもあるとして、注意を促している。
今回の事前通知について、オラクルのセキュリティ・アラート担当シニア・マネジャー、ダリウス・ワイルズ氏は、同社が昨年10月から脆弱性報告の簡略化と、「CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)」に基づいた脆弱性評価を開始していることを強調。脆弱性に対して積極的に取り組んでいる姿勢をアピールしたうえで、1月16日から配布予定のパッチが対象とする脆弱性は、CVSSの総合評価で7.0(最も深刻な脆弱性評価は10.0)であることを明らかにした。
「今回の脆弱性は、過去に発見された脆弱性の中でも、最も“深刻な評価”の部類に入る。対象となる製品を利用している管理者は、速やかにセキュリティ・パッチを適用してほしい」(ワイルズ氏)
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
