［米国］
Oracle、バグ・フィックス27件を含むセキュリティ・パッチをリリース

Oracle DBなど多様な製品が対象。「早急に適用する必要がある」とアナリスト

（2008年01月16日）

　米国Oracleは1月15日、データベースおよびアプリケーション・サーバ製品で明らかになった複数の脆弱性に対処するために、27件のバグ・フィックスを含むセキュリティ・パッチをリリースすると発表した。

　発表したセキュリティ・パッチは「Critical Patch Update」。対象製品は、「Oracle Database」「Application Server」「Collaborative Suite」「E-Business Suite and Applications」「Enterprise Manager」「PeopleSoft/JD Edwards EnterpriseOne」となる。

　アリゾナ州フェニックスのITコンサルティング会社Securosisの創立者であるリッチ・モーグル（Rich Mogull）氏は、「今回のセキュリティ・パッチはほとんどの企業ユーザーに影響を与えるはずだ。（セキュリティ・パッチが）リリースされたら、できるだけ早急にこのセキュリティ・パッチを評価・適用することをお勧めする」と語っている。

　今回のセキュリティ・パッチは企業ユーザーにとって非常に重要な意味を持つというのが、全般的なアナリストの見解だ。例えば、Application Serverに対する6件のセキュリティ・パッチのうち5件は、ユーザー名とパスワードによる認証なしに、ネットワークを介してリモート操作される恐れのある脆弱性を対象としている。27件全体で見ると、10件はこうした脆弱性に対してのセキュリティ・パッチとなる。

　カナダのオンタリオ州ロンドンにあるInfo-Tech Research Groupで、シニア・リサーチ・アナリストを務めるジェームズ・クイン（James Quin）氏は、今回のセキュリティ・パッチについて次のように述べている。「最も影響を受けるプラットフォームはOracle Databaseだが、脆弱性はそれ以外のプラットフォームにも及んでいるため、パッチを適用しないことはユーザーにとって潜在的なリスクがきわめて高くなる」

　Oracleは、セキュリティ上の脆弱性をユーザー側で把握できるようにするため、脆弱性をスコア化するツール「Common Vulnerability Scoring System 2.0（CVSS 2.0）」を提供している。同ツールにより数値化されたスコアが高いほど脆弱性が高く、脅威に対して危険度が高いということになる。

　Oracle Databaseに対するCVSSの最高スコアは6.5であり、これは中程度の危険度に分類される。一方、Application Server製品に対する最高スコアはクライアントが9.3、サーバが6.8となる。7.0を超えるスコアは脅威に対して危険度が非常に高いと判断される。

　Oracleは、自社製品の脆弱性について正直に公表しているが、パッチに関する現時点での資料だけでは、各脅威に対してユーザーが事前にどのような計画を立てればよいかがわからないと、アナリストらは不満を漏らしている。

　Quin氏は、「Oracleは、バグ・フィックスをグループ化し、グループ単位で1つのCVSSスコアを提示することで、企業ユーザーにとってどれが最も深刻な脆弱性なのかを判別しにくくし、結果的にすべてのバグ・フィックスを適用するよう仕向けている」と、問題点を指摘する。

　さらに同氏は、「これほど多くのバグ・フィックスがあるケースだと、まず実環境への影響を知るためにさまざまなフィックスをテストしなければならず、適用まで時間がかかるのが普通だ。最終的にすべてのフィックスを適用しなければならない点は同じだと言えるが、フィックスごとに個別のCVSSスコアを付けておけば、企業ユーザーは最も重要なフィックスからテスト／導入することができる」と語っている。

(Rafael Ruffolo／Computerworldカナダ版)