Oracle Critical Patch Update Advisory - October 2018
概要
Critical Patch Update はセキュリティ脆弱性のための複数のパッチをまとめたものです。 Critical Patch Updateは通常は累積的なパッチですが、各回のアドバイザリでは、前のCritical Patch Updateアドバイザリ以降新たに追加されたセキュリティ修正のみが案内されています。 そのため、過去のセキュリティ修正の情報については、これまでにリリースされたCritical Patch Updateアドバイザリを確認する必要があります。 以前のCritical Patch Updateアドバイザリは、以下のURLから参照いただけます。
Critical Patch Updates, Security Alerts and Bulletins(日本語翻訳ページ)
オラクル社は、すでに修正を提供済みである脆弱性を突いた、悪意ある攻撃に関する報告を周期的に受け取り続けています。 いくつかの例では、利用可能なオラクルのパッチの適用を怠っていたため、攻撃者が成功をしたと報告されています。 そのため、オラクル社は、メンテナンス中のバージョンで運用し、滞りなく Critical Patch Update の修正を適用する事を強く推奨します。
本Critical Patch Update では、以下に記載の全ての製品を通じて301の新たなセキュリティ修正が含まれています。 本Critical Patch Update の内容および他の Oracle Software の安全性保証のアクティビティを要約した MOS Note は、October 2018 Critical Patch Update: Executive Summary and Analysisよりご覧ください。
影響を受ける製品及びコンポーネント
本Critical Patch Updateで対応がなされているセキュリティ脆弱性は、下記にリストされた製品に影響を及ぼします。 製品エリアは、Patch Availability Document カラムに示されています。 パッチの利用可能情報およびインストレーションの説明に関する文書は、下記の Patch Availability Document カラムのリンクをクリックしてご参照ください。
Note:
- Oracle DatabaseおよびOracle Fusion Middlewareに影響する脆弱性は、Oracle Fusion Applicationsに影響する可能性があるため、Fusion Application環境に適用するパッチ情報のOracle Fusion Applications Critical Patch Update Knowledge Document, My Oracle Support Note 1967316.1をご参照ください。
- Oracle Solaris に影響する脆弱性は Oracle ZFSSA に影響しますので、お客様は Oracle and Sun Systems Product Suite Critical Patch Update の文書を参照する必要があります。 Critical Patch Updates と Solaris Third Party bulletin で公開された ZFSSA の問題を解消するために要求されるセキュリティ修正の最小リビジョンの情報は My Oracle Support Note 2160904.1 にあります。
- ブラウザでJava SEをご使用のお客様は、最新のリリースを http://java.com よりダウンロードできます。 WindowsおよびMac OS Xプラットフォームのお客様は、最新のリリースを入手するための自動更新も使用できます。
リスク・マトリクス
リスク・マトリクスでは、本アドバイザリで示される新たな脆弱性のみをご案内しています。 以前のセキュリティ修正に対するリスク・マトリクスは、Critical Patch Update advisories(日本語翻訳ページ)から参照いただけます。 文章形式のリスク・マトリクス(英語)はこちらから参照いただけます。
本Critical Patch Updateで案内された脆弱性の幾つかは、複数の製品へ影響を及ぼします。 各脆弱性は、固有のCVE#で識別されています。 複数の製品に影響を及ぼす同一の脆弱性は、全リスク・マトリクス内で同じCVE#で表現されています。 イタリック体で表記されたCVE#は、この脆弱性は異なる製品に影響を及ぼす事が示されており、イタリック体のCVE#がリストされている製品にも影響があります。
セキュリティ脆弱性は CVSS バージョン 3.0 を使用してスコアされています (オラクル社がどのように CVSS 3.0 を適用しているかは Oracle CVSS Scoring をご覧ください)。
オラクル社は、Critical Patch Update によって案内されるそれぞれのセキュリティ脆弱性の分析を行います。 オラクル社は、その分析結果の詳細情報をお客様に公表しませんが、結果をまとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用するために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。 オラクル社はこのようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態に基づいてリスク分析を行って下さい。 詳細は、Oracle Security Vulnerability Disclosure Policies(日本語翻訳ページ)をご参照ください。
リスク・マトリクスに記載されるプロトコルは、もしセキュリティ形態を持つものがある場合は、そのプロトコルも影響される事を示しています。 たとえば、HTTPが影響を受けるプロトコルに記載されている場合、(使用可能であれば)HTTPSも同様に影響を受けることを示しています。 セキュリティ形態のみが影響を受ける場合には、そのプロトコルのセキュリティ形態がリスク・マトリクスに記載されます。 例えば、HTTPSはSSL/TLSにおける脆弱性のために記載されます。
回避策
攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早く Critical Patch Update の修正を適用されることを強く推奨します。 お客様の環境によっては、攻撃のために必要となるネットワーク・プロトコルを制限することで、攻撃が成功する危険性を軽減できる可能性があります。 ある特定の権限、または、ある特定のパッケージへのアクセスを必要とする攻撃に対し、その権限を必要としないユーザーから権限またはパッケージへのアクセスを削除することで、攻撃が成功する恐れを低減できる可能性があります。 これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を非プロダクション・システム(本番環境ではない環境)でテストされることを強く推奨します。 いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な解決策として見なすべきではありません。
Critical Patch Updateの省略
オラクル社はセキュリティ修正をできるだけ早く適用する事を強く推奨しています。 1つまたはそれ以上の Critical Patch Update の適用を行っておらず、今回のCPUでセキュリティ修正のアナウンスが無かった製品について確認をする場合は、以前のCritical Patch Update advisories(日本語翻訳ページ)をご確認ください。
Critical Patch Updateを提供する製品とバージョン
Critical Patch Updateプログラムにより提供されるパッチは、Lifetime Support Policy(日本語翻訳ページ)におけるPremier SupportまたはExtended Support期間にある製品バージョンに対して提供されます。 オラクル社は、Critical Patch Updateプログラムにより提供されるパッチを、確実に入手可能な製品バージョンへのアップグレードを計画されることを推奨します。
Premier SupportまたはExtended Support期間では無い製品リリースでは、本Critical Patch Updateで示されるセキュリティ脆弱性に関する検証を実施しておりません。 しかしながら、影響を受けるリリースの、より初期(earlier)のバージョンでは、これらの脆弱性の影響を受ける恐れがあります。 そのため、サポート中のバージョンへのアップグレードをお勧め致します。
Database、Fusion Middleware、Oracle Enterprise Manager 製品では、Software Error Correction Support Policy, My Oracle Support Note 209768.1(日本語翻訳文書)に従ってパッチが提供されます。 また、各サポートフェーズやサポート方針については、Technical Support Policies(日本語翻訳ページ)をご確認下さい。
謝辞
本Critical Patch Updateに含まれる脆弱性は、次の方々により発見・報告されました(敬称略)。
- Add of MeePwn working with Trend Micro's Zero Day Initiative: CVE-2018-2909, CVE-2018-3290, CVE-2018-3296, CVE-2018-3297
- Andrej Simko of Accenture: CVE-2018-3242, CVE-2018-3243
- Andrej Simko of Accenture working with iDefense Labs: CVE-2018-3256
- Anonymous researcher working with Trend Micro's Zero Day Initiative: CVE-2018-3291, CVE-2018-3292, CVE-2018-3298
- Artem Smotrakov: CVE-2018-3139
- Aurelien Salomon of Pure Hacking: CVE-2018-3204
- Badcode of Knownsec 404 Team: CVE-2018-3245, CVE-2018-3250
- Behzad Najjarpour Jabbari, Secunia Research at Flexera Software: CVE-2018-18223, CVE-2018-18224, CVE-2018-3217, CVE-2018-3218, CVE-2018-3219, CVE-2018-3220, CVE-2018-3221, CVE-2018-3222, CVE-2018-3223, CVE-2018-3224, CVE-2018-3225, CVE-2018-3226, CVE-2018-3227, CVE-2018-3228, CVE-2018-3229, CVE-2018-3230, CVE-2018-3231, CVE-2018-3232, CVE-2018-3233, CVE-2018-3234, CVE-2018-3302
- Devin Rosenbauer of Identity Works LLC: CVE-2018-3179
- East W: CVE-2018-3245
- Felix Dörre: CVE-2018-3180
- Giulio Comi of Horizon Security: CVE-2018-3205, CVE-2018-3206, CVE-2018-3207
- Graham Steel of Cryptosense: CVE-2018-3210
- Gregory Smiley of Security Compass: CVE-2018-3181
- Hans-Martin Münch: CVE-2018-3168
- Hasan Alqawzai: CVE-2018-3184
- Hysterical Raisins working with Trend Micro's Zero Day Initiative: CVE-2018-2909, CVE-2018-3287, CVE-2018-3296, CVE-2018-3297, CVE-2018-3298
- HzH4k: CVE-2018-3245
- Jacob Baines of Tenable, Inc.: CVE-2018-2912, CVE-2018-2913, CVE-2018-2914
- Jason Lang of TrustedSec: CVE-2018-3253
- Jayson Grace of Sandia National Laboratories: CVE-2018-3235, CVE-2018-3236, CVE-2018-3237
- Jim LaValley, Towerwall, Inc.: CVE-2018-3241, CVE-2018-3281
- Jimi Sebree of Tenable, Inc.: CVE-2018-3213
- John Moss of IRM Security: CVE-2018-3167
- Jon King of OPNAV N1, US Navy: CVE-2018-3192
- Jonas Mattsson: CVE-2018-3238
- Kamlapati Choubey of Trend Micro's Zero Day Initiative: CVE-2018-3147
- Koustav Sadhukhan: CVE-2018-2909, CVE-2018-3293, CVE-2018-3295, CVE-2018-3296, CVE-2018-3297, CVE-2018-3298
- Krzysztof Szafra?ski: CVE-2018-3183
- Li Qiang of the Qihoo 360 Gear Team: CVE-2018-3289, CVE-2018-3290, CVE-2018-3293, CVE-2018-3295
- Li Zhengdong of Hitax: CVE-2018-3191
- Liam Glanfield of IRM Security: CVE-2018-3167
- Liao Xinxi of NSFOCUS Security Team: CVE-2018-3245
- Lilei of Venustech ADLab: CVE-2018-3245
- Lokesh Sharma: CVE-2018-3138
- loopx9: CVE-2018-3191
- Lukasz Mikula: CVE-2018-3132, CVE-2018-3254
- Lukasz Plonka of ING Services Polska: CVE-2018-3208
- Maciej Grabiec: CVE-2018-3140, CVE-2018-3141, CVE-2018-3142
- Marcin Wo?oszyn of ING Services Polska: CVE-2018-3175, CVE-2018-3176, CVE-2018-3177, CVE-2018-3178
- Mark Earnest of Identity Works LLC: CVE-2018-3179
- Matthias Kaiser of Code White: CVE-2018-3191, CVE-2018-3197, CVE-2018-3201
- Mauricio Correa of Xlabs: CVE-2018-3172
- Michael Orlitzky: CVE-2018-3174
- Nelson William Gamazo Sanchez of Trend Micro's Zero Day Initiative: CVE-2018-3211
- Or Hanuka of Motorola Solutions: CVE-2018-3127
- Pawel Gocyla: CVE-2018-2902
- Ph0rse of Qihoo 360 Group 0kee Team: CVE-2018-3245
- Quang Nguyen of Viettel Cyber Security: CVE-2018-3295
- Root Object working with Trend Micro's Zero Day Initiative: CVE-2018-3288, CVE-2018-3289, CVE-2018-3293
- Tobias Ospelt of modzero: CVE-2018-3214
- Tom Tervoort of Secura: CVE-2018-2911
- Tzachy Horesh of Motorola Solutions: CVE-2018-3127
- Vahagn Vardanyan: CVE-2018-3215
- WenHui Wang: CVE-2018-3245, CVE-2018-3249
- Xiao Pingge: CVE-2018-3246
- Zhiyi Zhang of 360 Enterprise Security Group Codesafe Team: CVE-2018-3245, CVE-2018-3248, CVE-2018-3249, CVE-2018-3252
Security-In-Depth Contributors
オラクル社は、弊社のSecurity-In-Depthプログラム(FAQ)に貢献して下さった方々に謝意を表明します。 このSecurity-In-Depthプログラムとは、Critical Patch Updateでの対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
本Critical Patch Updateアドバイザリでは、オラクル社は、次の方々のSecurity-In-Depthプログラムへの貢献に謝意を表明します(敬称略)。
- Antonio Sanso
- Cyril Vallicari
- Gregory Smiley of Security Compass
- Martin Buchholz of Google
- Mingxuan Song of CNCERT
- Sarath Nair
On-Line Presence Security Contributors
オラクル社は、弊社のOn-Line Presence Securityプログラム(FAQ)に貢献して下さった方々に謝意を表明します。 このOn-Line Presence Securityプログラムとは、Oracleの外部向けオンライン・システムの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
この四半期では、オラクル社は、次の方々のOn-Line Presence Securityプログラムへの貢献に謝意を表明します(敬称略)。
- Alexander Kornbrust of Red Database Security
- Hemanth Joseph of hemanthjoseph.com
- Joby John
- Jose Domingo Carrillo
- Kranthi Kumar
- Mayank of Birla Institute of Technology, Mesra
- Mohammed Fayadh
- Pethuraj M (mr7)
- Pranshu Tiwari
- Rajat Sharma
- Richard Alvariez
- Samet Sahin
- Sébastien Kaul
- Zach Edwards of victorymedium.com
- Zekvan Arslan
Critical Patch Updateのスケジュール
Critical Patch Updateは、1月、4月、7月、10月の17日に最も近い火曜日に公開されます。今後4回のCPUの予定です(米国時間におけるOracle Technology Networkへの公開)。
- 2019年1月15日
- 2019年4月16日
- 2019年7月16日
- 2019年10月15日
参照情報
- Oracle Critical Patch Updates, Security Alerts and Bulletins
- Critical Patch Update - October 2018 Documentation Map
- Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions
- Risk Matrix Definitions
- Use of Common Vulnerability Scoring System (CVSS) by Oracle
- English text version of the risk matrices
- CVRF XML version of the risk matrices
- Map of CVE to Advisory
- Software Error Correction Support Policy
参考情報
- BEA Security Advisories Archive Page [ Oracle Technology Network ](日本語翻訳ページ)
- Oracle Technical Support Policies [ Oracle.com ](日本語翻訳ページ)
- Oracle Lifetime Support Policies [ Oracle.com ](日本語翻訳ページ)
原典
- Oracle Critical Patch Update Advisory - October 2018 [ Oracle Technology Network ]
修正履歴
2018年010月16日 | Rev 1. Initial Release |