Oracle は、同社のソフトウェア製品ライン全体にわたる広範なセキュリティパッチをリリースしました。
マイクロソフト、インテル、アドビなどが予定していた月例パッチをリリースした翌日に配信された1月のアップデートでは、この大企業の93の異なる製品における合計334件のセキュリティ脆弱性に対処している。
ご想像のとおり、ほとんどの IT 管理者は、特定のプラットフォームに対して少数の更新プログラムをテストして適用するだけで済みます。
Oracleの主力製品であるデータベースサーバー向けの今回のアップデートには、12件のパッチが含まれています。そのうち3件は、Apache Tomcatの脆弱性(CVE-2019-10072)、Big Redのデータベースゲートウェイの脆弱性(CVE-2020-2512)、そしてCore RDBMS製品の脆弱性(CVE-2020-2510)であり、いずれもリモートから不正に攻撃される可能性があります。CVSSスコアが最も高かったのは、Core RDBMSのローカル攻撃可能な脆弱性(CVE-2020-2511)で、7.7という高いスコアを獲得しました。
最も深刻度の高い脆弱性のいくつかは、Oracleの通信アプリで発見されました。CVEリストに登録された25件のバグのうち23件は、認証を必要とせずにリモートから悪用可能とされています。そのうち6件はCVSSスコア9以上でした。
WordPressプラグインを最近アップデートしましたか?認証バイパスの32万の理由をご紹介します。
続きを読む
Fusion MiddleWay には、CVE リストに登録されたバグが 38 件あり、そのうち 30 件はリモートから悪用可能で、3 件 (CVE-2020-2555、CVE-2020-2551、CVE-2020-2546) は CVSS スコアが 10 点満点中 9.8 と評価されています。つまり、今すぐパッチを適用してください。
Solarisには今回10件のパッチが適用されましたが、リモートから攻撃可能なのはそのうち2件のみでした。Sun ZFS Storage Appliance Kitには、特に悪質なリモートコード実行(RCE)脆弱性(CVE-2019-9636)が存在していました。
また注目すべきは、Solaris 10共通デスクトップ環境(CVE-2020-2696)における権限昇格の脆弱性です。これは、イタリアの情報セキュリティ企業Mediaservice.netの主席セキュリティアドバイザーであるマルコ・イヴァルディ氏によって発見されました。この脆弱性の詳細な分析の中で、イヴァルディ氏はこの脆弱性を「マニュアルから出てきたような、可愛らしいメモリ破損の問題」と表現し、同様の脆弱性が複数存在する可能性が高いことを示唆しました。
「私の監査中に、dtsessionやCDE全般において、潜在的に悪用される可能性のあるバグが多数発見されました」とイヴァルディ氏は述べた。「したがって、ベンダーがリリースしたパッチの有無にかかわらず、すべてのCDEバイナリからsetuidビットを削除することを真剣に検討すべきです。」
脆弱性の詳細が明らかになったため、管理者はできるだけ早く Oracle のパッチをすべてテストして適用することをお勧めします。®
