オラクルは本日、四半期ごとのセキュリティアップデートをリリースし、膨大な数のエンタープライズソフトウェア製品群にわたる合計296件の脆弱性を修正した。
2019 年 4 月のアップデートには、Big Red の主力製品であるデータベース、Fusion MiddleWare、MySQL ラインの修正と、Java SE の新しいライセンス条項の導入が含まれています。
Java SEでは、合計5つの脆弱性が修正されています。いずれもリモートから悪用され、ユーザーの操作なしに悪意のあるコードが実行される危険性があります。Oracleは各脆弱性がどの程度の悪用を許すのかを具体的には明らかにしていませんが、CVSSの最大値は9.0です。これは通常、ユーザーの操作なしにリモートでコードが実行される場合に適用されるスコアです。
このリリースでは、Java SE の新しいライセンス要件も導入されています。
ほとんどのユーザーにとって、新しいJava SEの規約はほとんど意味を持ちません。Oracleによると、Java SEのコンシューマー向けおよび開発者向けビルドは引き続き無償で提供され、他のOracle製品の一部としてJava SEを使用するビジネス顧客は、これらのライセンスの対象となります。
しかし、対象外のユーザーは、アップデートを入手するために新しいライセンスを取得する必要があるかもしれません。これは、潜在的に重要なセキュリティ修正に関しては避けたい事態です。Java SEパッチの対象となるユーザーと対象とならないユーザーについて詳細を尋ねたところ、オラクルはJavaSEロードマップを参照しました。
「Oracle Java SEバイナリを無償で入手することに慣れている組織であれば、jdk.java.netで入手可能なOracleのOpenJDKリリースをそのまま利用し続けることができます。個人ユーザーまたは開発用途でOracle Java SEバイナリを無償で入手することに慣れている組織であれば、個人ユーザー向けにはjava.com、開発者向けにはOracle Technology Network(OTN)を通じてOracle Java SEリリースを引き続き入手できます」とOracleは新ポリシーの発表で述べている。
Oracle Java 搭載スマート カードにセキュリティの嵐が吹き荒れる: 12 個を超える欠陥が見つかり、修正される... えーと、修正はあるのか?
続きを読む
Oracle JDK または Oracle JRE を他の用途で使用する場合は、Java SE サブスクリプションが必要です。
一方、WebLogic を含む Oracle の Fusion MiddleWare にも重要なパッチが適用され、アップデートにより 53 件のセキュリティ脆弱性が修正される。そのうち 42 件は、ユーザーの認証情報を必要とせずに攻撃者がリモートから攻撃できる可能性がある。
データベース サーバーでは、6 つの脆弱性が修正されます。そのうち 1 つはリモートから悪用される可能性があり、もう 1 つはクライアント ソフトウェアに固有のものです (そのため、サーバー管理者は 5 つのパッチのみをインストールする必要があります)。
4月のアップデートの大部分はOracleの通信アプリケーション製品群に適用され、26件の修正(うち19件はリモートから悪用可能なもの)が行われました。E-Business Suiteでは、リモートから悪用可能な脆弱性33件(合計35件)が修正されました。
MySQLも人気の標的であり、合計44件の脆弱性が修正されました。しかし、修正内容は比較的小規模で、認証なしでリモートから悪用可能な脆弱性は3件のみであり、CVSSスコアの最大値は6.5でした。
PeopleSoftアプリケーションには13件のパッチが提供されましたが、そのうち8件は認証なしでリモートから攻撃される可能性がありました。Solarisには3件の脆弱性に対する修正が提供されましたが、そのうち2件はリモートから攻撃される可能性がありました。®
