オラクルはDB製品のパッチ提供がなおざり――セキュリティ・ベンダー幹部が批判
オラクルは、「DB製品はすでにほとんどのバグが除去済み」と説明セキュリティ・ベンダーの米国Application Securityの幹部が1月17日、米国Oracleが同日公開する「Critical Patch Update」で修正される同社の主力データベースの脆弱性の数は過去最少だと指摘、Oracleは主力データベースのパッチ提供をおろそかにしていると批判した。
Critical Patch Update(CPU)は、Oracle製品のセキュリティ脆弱性を修正するパッチをまとめたもので、1月、4月、7月、10月にリリースされている。Application SecurityのTeam SHATTER部門(アプリケーション脆弱性の評価、防止に関する研究開発を行う)でセキュリティ・リサーチ担当ディレクターを務めるアレックス・ローサッカー(Alex Rothacker)氏は、Oracleは、「データベースの脆弱性修正に関してさじを投げている」と述べている。
「今年1月のCPUが事前説明どおりにリリースされれば、データベース脆弱性の今回の修正数はわずか2つとなり、過去最少を更新することになる」と、ローサッカー氏は1月17日、電子メールで述べた。
ローサッカー氏が言及した事前説明はOracleが先週発表したもので、それによると、今回のCPUでは合計78件の脆弱性が修正され、このうち27件がデータベース「MySQL」の脆弱性だが、「Oracle Database」製品の脆弱性修正数は2件しかないという。
この修正数は、前回の2011年10月に公開されたCPUにおけるデータベース脆弱性の修正数である5件を下回っている。これまではこれが過去最少だった。
「2010年1月以来、CPUでのデータベース脆弱性の修正数は減少の一途をたどっている」と、ローサッカー氏は1月16日、取材に対して語った。「だが、データベース製品の脆弱性が少なくなってきているわけではない」
ローサッカー氏は、Oracle Databaseには脆弱性が含まれる証拠として、同氏のチームが過去6~12カ月に9件のバグをOracleに報告したが、まだそれらのパッチが提供されていないことを引き合いに出した。
同氏によると、この9件のバグのうち2~3件は深刻なものであり、同氏のチームの研究者はそれらを高リスクと評価し、今までにパッチが提供されていてしかるべきと考えているという。
「Oracleが修正していない問題はまだある。例えば、データベース管理やパッチ適用のためのツールであるEnterprise Managerにも、未修正の問題がいくつかある」(ローサッカー氏)
ローサッカー氏は、データベースの脆弱性修正数の減少は、OracleによるSun Microsystems買収と関係があると見ている。
「データベースの脆弱性修正数が減り始めたのは、OracleがSun買収を完了し、自社のFusion Middlewareの脆弱性を多数修正し始めたのと軌を一にしている」(ローサッカー氏)
今回のCPUで修正される脆弱性のうち、Sunブランド製品の脆弱性は17件、Fusion Middlewareの脆弱性は11件となっている。
Oracleは、データベースの脆弱性修正数の減少について、異なる説明をしている。
「Oracle Database Serverのコードベースは成熟化しており、Oracleが進めてきたセキュリティ保証活動により、その中にあった脆弱性の多くは取り除かれてきた」と、Oracleのセキュリティ保証プログラム担当ディレクター、エリック・モーリス(Eric Maurice)氏は、2011年12月にブログで述べている。「状況が著しく変わらなければ(例えば、新しいエクスプロイト・ベクトルの発見によって)、Critical Patch Updateによって修正されるOracle Database Serverの脆弱性の数は、以前よりも比較的少ない水準で推移する見通しだ」
なお、ローサッカー氏の主張に対するOracleの正式なコメントは1月17日時点では何も出されていない。
(Gregg Keizer/Computerworld米国版)
