［米国］
オラクル、41件のセキュリティ修正パッチをリリース

リモート実行を許可する脆弱性にも対応、専門家は「早急に適用を」と呼びかけ

（2008年04月16日）

　米国Oracleは4月15日、同社のデータベースおよびアプリケーション・サーバ製品で発見された41件の脆弱性を修正する、セキュリティ修正パッチ「CPU（Critical Patch Update）」をリリースした。

　同社は、CPUを四半期ごとに定期的にリリースしている。今回、CPUの対象となった製品は、「Oracle Database」「Application Server」「Collaborative Suite」「E-Business Suite and Applications」「Enterprise Manager」「PeopleSoft/JD Edwards EnterpriseOne」「Oracle Siebel Enterprise」で、そのうちDatabase向けのCPUは、17件となっている。

　データベース・セキュリティ・ベンダーの米国SentrigoでCTOを務めるスラヴィク・マルコビッチ（Slavik Markovich）氏は、「今回のDatabase向けCPUを適用しない場合、SQLインジェクションの攻撃に遭う可能性がある」と指摘する。

　「（データベースに備わっている）Advanced Queuingを対象にしたSQLインジェクション攻撃が成功すれば、データベース内の情報を盗まれる可能性がある」（Markovich氏）

　ちなみにAdvanced Queuingを対象にしたセキュリティ修正パッチは、2件となっている。

　過去のセキュリティ修正パッチ件数を見ると、昨年10月にリリースされたセキュリティ修正パッチは51件、今年1月にリリースされたセキュリティ修正パッチは27件と、件数に“ムラ”がある。

　この点についてMarkovich氏は、「データベースには多数のモジュールと膨大な行数のコードが含まれている。過去に多数の脆弱性を修正したからといって（脆弱性が）時間の経過とともに減少することはない。今後も現在と同じようなペースで、セキュリティ修正パッチはリリースされるだろう」と指摘した。

　また同氏は堅牢なデータベースを構築する手段として、「利用しないモジュールは、最初からインストールしないこと」を挙げる。

　「不要なモジュールがデータベースにあれば、それだけ攻撃対象領域が広がるのだ」（Markovich氏）

　一方、E-Business Suiteと関連アプリケーション向けには11件のセキュリティ修正パッチがリリースされているが、そのうち7件は、許可のないリモートからの実行を許す脆弱性に対応するものだという。

　また、Application Server向けのセキュリティ修正パッチは3件で、こちらもE-Business Suiteの脆弱性と同様、許可のないリモートからの実行を許す脆弱性に対応するものだという。

　なお今回のCPUに関する詳細は、オラクルのWebサイトに報告されている。

(John Brodkin／Network World米国版)