Critical Patch UpdatesとSecurity Alerts

オラクル社が提供する製品は、原則としてセキュリティが確保されております。しかし、極稀に重大なセキュリティ上の脆弱性が発見されることがあります。オラクル社はこの脆弱性の修復のため迅速な行動をとり、最終的に、脆弱性の簡潔な説明、それによるリスク、回避策とパッチの提供時期を盛り込んだセキュリティ情報を発行します。

セキュリティ情報はこのページとMy Oracle Supportに掲載されます。このページに掲載された内容は、オラクル製品のセキュリティ対策のために自由にお使いになることができます。セキュリティに関するパッチは、My Oracle Supportからダウンロードすることができます（My Oracle Supportのご利用にはメンテナンスサポート契約が必要です）。また、米国での情報公開時に、電子メール（英語）にて通知を受け取ることができます。

電子メール通知の設定方法（英語）
テクニカル・ホワイト・ペーパー “Critical Patch Update Implementation Best Practices”（英語）

このページで提供される情報は下記の内容となります。

Critical Patch Updates
Security Alerts
一般公開されている脆弱性の修正情報
方針声明
セキュリティ脆弱性の報告について
リファレンス

Critical Patch Updates

Critical Patch Updatesはオラクル製品のセキュリティ脆弱性の修正を公開する基本の方法です。このパッチは、1月、4月、7月、10月の17日に最も近い火曜日に公開されます。今後のCritical Patch Updatesの公開は下記（米国時間）となります。

2013年7月16日
2013年10月15日
2014年1月14日
2014年4月15日

今後のOracle Java SE Critical Patch Updatesの公開は下記（米国時間）となります。

2013年10月15日
2014年1月14日
2014年4月15日
2014年7月15日

また、各CPUの公開日の前の木曜日（米国時間）に事前告知の情報が開示されます。

これまでにリリースされたCritical Patch Updatesです。

内　容	説明とよくある質問・回答	対応策（パッチ入手方法等）	US OTN 情報（英語）	公開日
Critical Patch Update - April 2013	説明 Risk Matrix	対応策	HTML	2013/4/16
Critical Patch Update - January 2013	説明 Risk Matrix	対応策	HTML	2013/1/15
Critical Patch Update - October 2012	説明 Risk Matrix	対応策	HTML	2012/10/19
Critical Patch Update - July 2012	説明 Risk Matrix	対応策	HTML	2012/07/20
Critical Patch Update - April 2012	説明 Risk Matrix	対応策	HTML	2012/04/20
Critical Patch Update - January 2012	説明 Risk Matrix	対応策	HTML	2012/01/20
Critical Patch Update - October 2011	説明 Risk Matrix	対応策	HTML	2011/10/21
Critical Patch Update - July 2011	説明 Risk Matrix	対応策	HTML	2011/7/22
Critical Patch Update - April 2011	説明 Risk Matrix	対応策	HTML	2011/4/22
Critical Patch Update - January 2011	説明 Risk Matrix	対応策	HTML	2011/1/21
Critical Patch Update - October 2010	説明 Risk Matrix	対応策	HTML	2010/10/15
Critical Patch Update - July 2010	説明 Risk Matrix	対応策	HTML	2010/7/16
Critical Patch Update - April 2010	説明 Risk Matrix	対応策	HTML	2010/4/16
Critical Patch Update - January 2010	説明 Risk Matrix	対応策	HTML	2010/1/15
Critical Patch Update - October 2009	説明 Risk Matrix	対応策	HTML	2009/10/23
Critical Patch Update - July 2009	説明 Risk Matrix	対応策	HTML	2009/7/17
Critical Patch Update - April 2009	説明 Risk Matrix	対応策	HTML	2009/4/17
Critical Patch Update - January 2009	説明 Risk Matrix	対応策	HTML	2009/1/16
Critical Patch Update - October 2008	説明 Risk Matrix	対応策	HTML	2008/10/17
Critical Patch Update - July 2008	説明 Risk Matrix	対応策	HTML	2008/7/18
Critical Patch Update - April 2008	説明 Risk Matrix	対応策	HTML	2008/4/18
Critical Patch Update - January 2008	説明 Risk Matrix	対応策	HTML	2008/1/18
Critical Patch Update - October 2007	説明 Risk Matrix	対応策	HTML	2007/10/19
Critical Patch Update - July 2007	説明 Risk Matrix	対応策	HTML	2007/7/18
Critical Patch Update - April 2007	説明 Risk Matrix		HTML	2007/4/20
Critical Patch Update - January 2007	説明 Risk Matrix		HTML	2007/1/19
Critical Patch Update - October 2006	説明 Risk Matrix		HTML	2006/10/20
Critical Patch Update - July 2006	説明 Risk Matrix		HTML	2006/7/21
Critical Patch Update - April 2006	説明 Risk Matrix		HTML	2006/4/21
Critical Patch Update - January 2006	説明 Risk Matrix		HTML	2006/1/20
Critical Patch Update - October 2005	説明 Risk Matrix		HTML	2005/10/21
Critical Patch Update - July 2005	説明 Risk Matrix		HTML	2005/7/15
Critical Patch Update - April 2005	説明		PDF	2005/4/15
Critical Patch Update - January 2005	説明		PDF	2005/1/21

これまでにリリースされたCritical Patch Updates for Oracle Java SEです。

内　容	US OTN情報（英語）	公開日
Java SE Critical Patch Update - June 2013	HTML	2013/06/18
Java SE Critical Patch Update - April 2013	HTML	2013/04/16
Java SE Critical Patch Update -　February 2013　-　Special Update	HTML	2013/02/19
Java SE Critical Patch Update - February 2013	HTML	2013/02/01
Java SE Critical Patch Update - October 2012	HTML	2012/10/16
Java SE Critical Patch Update - June 2012	HTML	2012/06/12
Java SE Critical Patch Update - February 2012	HTML	2012/02/14
Java SE Critical Patch Update - October 2011	HTML	2011/10/19
Java SE Critical Patch Update - June 2011	HTML	2011/6/7
Java SE and Java for Business Critical Patch Update - February 2011	HTML	2011/2/15
Java SE and Java for Business Critical Patch Update - October 2010	HTML	2010/10/12
Java SE and Java for Business Critical Patch Update - March 2010	HTML	2010/4/8

Security Alerts

Security Alertsは次のCritical Patch Updateの公開を待てないような重篤な脆弱性の修正を提供する場合に発行されます。

Critical Patch Updatesの公開（2005年1月）以前に発行されたSecurity Alertsは下記のページをご覧ください。

Security Alerts Archive（英語）
Security Alertsアーカイブ（日本語）

2009年4月以前のBEA製品のSecurity Advisoriesは下記のページをご覧ください。

BEA Security Advisories Archive Page（英語）
セキュリティアドバイザリ（日本語）

2010年4月以前のSun製品のSecurity Sun Alertは下記のページをご覧ください。

Sun Alert Archive and Mappings for Legacy SunSolve Document ID Numbers（英語）

2005年以降これまでにリリースされたOracle Security Alertsです。

内　容	説明	US OTN情報（英語）	公開日
Oracle Security Alert for CVE-2013-1493	-	HTML	2013/3/4
Oracle Security Alert for CVE-2013-0422	-	HTML	2013/1/15
Oracle Security Alert for CVE-2012-4681	-	HTML	2012/8/30
Oracle Security Alert for CVE-2012-3132	-	HTML	2012/8/11
Oracle Security Alert for CVE-2012-1675	-	HTML	2012/4/30
Oracle Security Alert for CVE-2011-5035	-	HTML	2012/2/1
Oracle Security Alert for CVE-2011-3192	-	HTML	2011/9/16
Oracle Security Alert for CVE-2010-4476	-	HTML	2011/2/8
Oracle Security Alert for CVE-2010-0886	-	HTML	2010/5/18
Oracle Security Alert for CVE-2010-0073	説明	HTML	2010/2/22
Oracle Security Alert for CVE-2008-3257	説明	HTML	2008/8/1

一般公開されている脆弱性の修正情報

一般に公開されている脆弱性に関する問題で、Critical Patch UpdateとSecurity Alertで修正が提供されている問題の情報です。下記ページの一覧からご確認ください。

Map of Public Vulnerability to Advisory/Alert（英語）

Critical Patch UpdatesとSecurity Alertsで提供される情報の方針声明

オラクル社では四半期ごとに提供する「Critical Patch Updates」を基盤にした新しいセキュリティ・パッチの提供方法をお客様向けに発表しました。これは、全世界のお客様を対象に2005年より開始されています。

オラクル製品におけるJavaのセキュリティ脆弱性の影響は下記の文書をご覧ください。（My Oracle Supportへのログインが必要です）

My Oracle Support Note 360870.1 explains the impact of Java security vulnerabilities on Oracle products（英語）
KROWN 126662 Oracle製品に対するJavaのセキュリティ上の脆弱性の影響（翻訳版）

2006年10月以降に米国オラクルが公開しているCPU（Critical Patch Update）に付随するRisk Matrixでは各脆弱性の深刻度をCVSS（Common Vulnerability Scoring System）に基づいて算出・表示されています。CVSSは情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会（NIAC:National Infrastructure Advisory Council）のプロジェクトで2004年10月に原案が作成されました。
現在CVSSの管理母体はFIRST（Forum of Incident Response and Security Teams）となっておりCVSS-SIG（Special Interest Group）で適用推進や仕様改善が行われています。CVSSの詳細については下記のIPAホームページなどをご参照下さい。

共通脆弱性評価システムCVSS概説

セキュリティ脆弱性の報告について

オラクル社は、セキュリティに対する脆弱性に関して、お客様のご協力による情報提供を頂いており、大変感謝しております。これによりオラクル社は迅速にその問題に対処することができます。製品等における脆弱性が発見された場合、日本オラクルとサポート契約をお持ちのお客様またはパートナー企業の方はMy Oracle Supportにログインし、サービス・リクエスト（SR）を使ってご連絡をお願いいたします。それ以外の方の場合は詳細情報を secalert_us@oracle.com 宛に電子メールにてご連絡をお願いいたします（お手数ですが英語の記述にてお送りください）。電子メールでの連絡の際に暗号化を行う場合は、弊社の暗号キーをお使いくださるようお願いいたします。