Critical Patch UpdatesとSecurity Alerts


オラクル社が提供する製品は、原則としてセキュリティが確保されております。しかし、極稀に重大なセキュリティ上の脆弱性が発見されることがあります。オラクル社はこの脆弱性の修復のため迅速な行動をとり、最終的に、脆弱性の簡潔な説明、それによるリスク、回避策とパッチの提供時期を盛り込んだセキュリティ情報を発行します。

セキュリティ情報はこのページとMy Oracle Supportに掲載されます。このページに掲載された内容は、オラクル製品のセキュリティ対策のために自由にお使いになることができます。セキュリティに関するパッチは、My Oracle Supportからダウンロードすることができます(My Oracle Supportのご利用にはメンテナンスサポート契約が必要です)。また、米国での情報公開時に、電子メール(英語)にて通知を受け取ることができます。

このページで提供される情報は下記の内容となります。

Critical Patch Updates


Critical Patch Updatesはオラクル製品のセキュリティ脆弱性の修正を公開する基本の方法です。このパッチは、1月、4月、7月、10月の17日に最も近い火曜日に公開されます。今後のCritical Patch Updatesの公開は下記(米国時間)となります。

  • 2014年10月14日
  • 2015年1月20日
  • 2015年4月14日
  • 2015年7月14日

2013年10月のCritical Patch Updateより、 Java SEのセキュリティ問題の修正は通常のCritical Patch Updateと同じスケジュールで提供されます。

また、各CPUの公開日の前の木曜日(米国時間)に事前告知の情報が開示されます。

これまでにリリースされたCritical Patch Updatesです。

内 容 説明とよくある質問・回答 対応策
(パッチ入手方法等)
US OTN
情報
(英語)
公開日
Critical Patch Update - July 2014 説明
Risk Matrix
対応策 HTML 2014/7/15
Critical Patch Update - April 2014 説明
Risk Matrix
対応策 HTML 2014/4/15
Critical Patch Update - January 2014 説明
Risk Matrix
対応策 HTML 2014/1/14
Critical Patch Update - October 2013 説明
Risk Matrix
対応策 HTML 2013/10/15
Critical Patch Update - July 2013 説明
Risk Matrix
対応策 HTML 2013/7/16
Critical Patch Update - April 2013 説明
Risk Matrix
対応策 HTML 2013/4/16
Critical Patch Update - January 2013 説明
Risk Matrix
対応策 HTML 2013/1/15
Critical Patch Update - October 2012 説明
Risk Matrix
対応策 HTML 2012/10/19
Critical Patch Update - July 2012 説明
Risk Matrix
対応策 HTML 2012/07/20
Critical Patch Update - April 2012 説明
Risk Matrix
対応策 HTML 2012/04/20
Critical Patch Update - January 2012 説明
Risk Matrix
対応策 HTML 2012/01/20
Critical Patch Update - October 2011 説明
Risk Matrix
対応策 HTML 2011/10/21
Critical Patch Update - July 2011 説明
Risk Matrix
対応策 HTML 2011/7/22
Critical Patch Update - April 2011 説明
Risk Matrix
対応策 HTML 2011/4/22
Critical Patch Update - January 2011 説明
Risk Matrix
対応策 HTML 2011/1/21
Critical Patch Update - October 2010 説明
Risk Matrix
対応策 HTML 2010/10/15
Critical Patch Update - July 2010 説明
Risk Matrix
対応策 HTML 2010/7/16
Critical Patch Update - April 2010 説明
Risk Matrix
対応策 HTML 2010/4/16
Critical Patch Update - January 2010 説明
Risk Matrix
対応策 HTML 2010/1/15
Critical Patch Update - October 2009 説明
Risk Matrix
対応策 HTML 2009/10/23
Critical Patch Update - July 2009 説明
Risk Matrix
対応策 HTML 2009/7/17
Critical Patch Update - April 2009 説明
Risk Matrix
対応策 HTML 2009/4/17
Critical Patch Update - January 2009 説明
Risk Matrix
対応策 HTML 2009/1/16
Critical Patch Update - October 2008 説明
Risk Matrix
対応策 HTML 2008/10/17
Critical Patch Update - July 2008 説明
Risk Matrix
対応策 HTML 2008/7/18
Critical Patch Update - April 2008 説明
Risk Matrix
対応策 HTML 2008/4/18
Critical Patch Update - January 2008 説明
Risk Matrix
対応策 HTML 2008/1/18
Critical Patch Update - October 2007 説明
Risk Matrix
対応策 HTML 2007/10/19
Critical Patch Update - July 2007 説明
Risk Matrix
対応策 HTML 2007/7/18
Critical Patch Update - April 2007 説明
Risk Matrix
  HTML 2007/4/20
Critical Patch Update - January 2007 説明
Risk Matrix
  HTML 2007/1/19
Critical Patch Update - October 2006 説明
Risk Matrix
  HTML 2006/10/20
Critical Patch Update - July 2006 説明
Risk Matrix
  HTML 2006/7/21
Critical Patch Update - April 2006 説明
Risk Matrix
  HTML 2006/4/21
Critical Patch Update - January 2006 説明
Risk Matrix
  HTML 2006/1/20
Critical Patch Update - October 2005 説明
Risk Matrix
  HTML 2005/10/21
Critical Patch Update - July 2005 説明
Risk Matrix
  HTML 2005/7/15
Critical Patch Update - April 2005 説明   PDF 2005/4/15
Critical Patch Update - January 2005 説明   PDF 2005/1/21

これまでにリリースされたCritical Patch Updates for Oracle Java SEです。

内 容 US OTN情報
(英語)
公開日
Java SE Critical Patch Update - June 2013 HTML 2013/06/18
Java SE Critical Patch Update - April 2013 HTML 2013/04/16
Java SE Critical Patch Update - February 2013 - Special Update HTML 2013/02/19
Java SE Critical Patch Update - February 2013 HTML 2013/02/01
Java SE Critical Patch Update - October 2012 HTML 2012/10/16
Java SE Critical Patch Update - June 2012 HTML 2012/06/12
Java SE Critical Patch Update - February 2012 HTML 2012/02/14
Java SE Critical Patch Update - October 2011 HTML 2011/10/19
Java SE Critical Patch Update - June 2011 HTML 2011/6/7
Java SE and Java for Business Critical Patch Update - February 2011 HTML 2011/2/15
Java SE and Java for Business Critical Patch Update - October 2010 HTML 2010/10/12
Java SE and Java for Business Critical Patch Update - March 2010 HTML 2010/4/8

Security Alerts


Security Alertsは次のCritical Patch Updateの公開を待てないような重篤な脆弱性の修正を提供する場合に発行されます。

Critical Patch Updatesの公開(2005年1月)以前に発行されたSecurity Alertsは下記のページをご覧ください。

2009年4月以前のBEA製品のSecurity Advisoriesは下記のページをご覧ください。

2010年4月以前のSun製品のSecurity Sun Alertは下記のページをご覧ください。

2005年以降これまでにリリースされたOracle Security Alertsです。

内 容 説明 US OTN情報
(英語)
公開日
Oracle Security Alert for CVE-2014-7169 - HTML 2014/9/27
Oracle Security Alert for CVE-2014-0160 - HTML 2014/4/18
Oracle Security Alert for CVE-2013-1493 - HTML 2013/3/4
Oracle Security Alert for CVE-2013-0422 - HTML 2013/1/15
Oracle Security Alert for CVE-2012-4681 - HTML 2012/8/30
Oracle Security Alert for CVE-2012-3132 - HTML 2012/8/11
Oracle Security Alert for CVE-2012-1675 - HTML 2012/4/30
Oracle Security Alert for CVE-2011-5035 - HTML 2012/2/1
Oracle Security Alert for CVE-2011-3192 - HTML 2011/9/16
Oracle Security Alert for CVE-2010-4476 - HTML 2011/2/8
Oracle Security Alert for CVE-2010-0886 - HTML 2010/5/18
Oracle Security Alert for CVE-2010-0073 説明 HTML 2010/2/22
Oracle Security Alert for CVE-2008-3257 説明 HTML 2008/8/1

一般公開されている脆弱性の修正情報


一般に公開されている脆弱性に関する問題で、Critical Patch UpdateとSecurity Alertで修正が提供されている問題の情報です。下記ページの一覧からご確認ください。

Critical Patch UpdatesとSecurity Alertsで提供される情報の方針声明


オラクル社では四半期ごとに提供する「Critical Patch Updates」を基盤にした新しいセキュリティ・パッチの提供方法をお客様向けに発表しました。これは、全世界のお客様を対象に2005年より開始されています。

オラクル製品におけるJavaのセキュリティ脆弱性の影響は下記の文書をご覧ください。(My Oracle Supportへのログインが必要です)

  • My Oracle Support Note 360870.1 explains the impact of Java security vulnerabilities on Oracle products(英語)
  • KROWN 126662 Oracle製品に対するJavaのセキュリティ上の脆弱性の影響(翻訳版)

2006年10月以降に米国オラクルが公開しているCPU(Critical Patch Update)に付随するRisk Matrixでは各脆弱性の深刻度をCVSS(Common Vulnerability Scoring System)に基づいて算出・表示されています。CVSSは情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC:National Infrastructure Advisory Council)のプロジェクトで2004年10月に原案が作成されました。
現在CVSSの管理母体はFIRST(Forum of Incident Response and Security Teams)となっておりCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われています。CVSSの詳細については下記のIPAホームページなどをご参照下さい。

セキュリティ脆弱性の報告について


オラクル社は、セキュリティに対する脆弱性に関して、お客様のご協力による情報提供を頂いており、大変感謝しております。これによりオラクル社は迅速にその問題に対処することができます。製品等における脆弱性が発見された場合、日本オラクルとサポート契約をお持ちのお客様またはパートナー企業の方はMy Oracle Supportにログインし、サービス・リクエスト(SR)を使ってご連絡をお願いいたします。それ以外の方の場合は詳細情報を secalert_us@oracle.com 宛に電子メールにてご連絡をお願いいたします(お手数ですが英語の記述にてお送りください)。電子メールでの連絡の際に暗号化を行う場合は、弊社の暗号キーをお使いくださるようお願いいたします。

リファレンス