オラクルは今週、4月のセキュリティアップデートをリリースし、数十の製品にわたる合計254件のセキュリティ脆弱性に対処した。
注目すべきパッチの中でも、Solarisシステムに残存するSpectre関連の脆弱性(具体的には、Spectreバリアント1とも呼ばれるCVE-2017-5753)の修正が挙げられます。Oracleは1月に、自社製品におけるSpectre/Meltdownプロセッサ設計上のバグの大部分を軽減しました。今回のアップデートでは、Solarisバージョン10および11.3に対するさらなる修正が適用されます。
Javaは、CVEリストに登録されている14件の脆弱性に対するパッチを受け取りました。そのうち12件は、ユーザーに通知されることなくリモートから悪用される可能性があります。これらの脆弱性のうち3件(CVE-2018-2825、CVE-2018-2826、CVE-2018-2814)は、アプレットまたはJava Web Startアプリがクラッシュしたり、Java SEを乗っ取ったりする可能性があります。
フラッシュ!あああ!WebEx が私たち全員を乗っ取った!
続きを読む
Fusion MiddleWay では 39 件のバグが修正されました。そのうち 30 件はリモートから悪用される可能性があります。これには、複数の Fusion MiddleWay アプリケーションに存在する、HTTP 接続経由で悪用される可能性のある、特に悪質なリモート乗っ取りの脆弱性である CVE-2017-5645 も含まれます。
OracleのMySQLについては、今回のアップデートで様々な脆弱性に対する33件のパッチが提供され、そのうち2件(CVE-2018-2761、CVE-2017-3737)はリモートから悪用可能です。一方、Oracle Databaseに必要なパッチは2件のみです。1件はJavaVMのバグ(CVE-2018-2841)に対するもので、もう1件はOracle GoldenGateのバグ(CVE-2018-2832)に対するものです。
E-Business Suiteには12件の修正が提供されます。そのうち11件は、リモートから悪用される可能性のあるCVEリストの脆弱性に対するものです。そのうち2件、CVE-2018-2870とCVE-2018-2871は特に悪質なバグであり、Oracleが「重要なデータまたはOracle Human Resourcesがアクセス可能なすべてのデータへの不正な作成、削除、または変更、ならびに重要なデータへの不正なアクセスまたはOracle Human Resourcesがアクセス可能なすべてのデータへの完全なアクセス」と表現している状況を可能にします。
Oracle Financial Services Applications には36件の脆弱性が修正され、そのうち18件はリモートから悪用可能な欠陥です。Peoplesoft には12件の修正が提供され、そのうち8件はリモートから悪用可能なものでした。
エンタープライズ ソフトウェア大手は、管理者に対し、自社製品にパッチが適用されているか確認し、必要に応じてできるだけ早くテストしてインストールするようアドバイスしています。®
追記: OracleとJavaについてですが、Java SE 8の商用ユーザーは、商用ライセンスを取得しない限り、2019年1月以降、ソフトウェアのパブリックアップデートを受けられなくなります。「Oracle Java SE 8のパブリックアップデートは、少なくとも2020年末までは個人使用向けに引き続き提供されます」とOracleは付け加えています。アップデートの進捗状況を確認したい場合は、Java SEのサポートロードマップをご覧ください。
