Oracle Critical Patch Update Advisory - January 2019
概要
Critical Patch Update はセキュリティ脆弱性のための複数のパッチをまとめたものです。 Critical Patch Updateは通常は累積的なパッチですが、各回のアドバイザリでは、前のCritical Patch Updateアドバイザリ以降新たに追加されたセキュリティ修正のみが案内されています。 そのため、過去のセキュリティ修正の情報については、これまでにリリースされたCritical Patch Updateアドバイザリを確認する必要があります。 以前のCritical Patch Updateアドバイザリは、以下のURLから参照いただけます。
Critical Patch Updates, Security Alerts and Bulletins(日本語翻訳ページ)
オラクル社は、すでに修正を提供済みである脆弱性を突いた、悪意ある攻撃に関する報告を周期的に受け取り続けています。 いくつかの例では、利用可能なオラクルのパッチの適用を怠っていたため、攻撃者が成功をしたと報告されています。 そのため、オラクル社は、メンテナンス中のバージョンで運用し、滞りなく Critical Patch Update の修正を適用する事を強く推奨します。
本Critical Patch Update では、以下に記載の全ての製品を通じて284の新たなセキュリティ修正が含まれています。 本Critical Patch Update の内容および他の Oracle Software の安全性保証のアクティビティを要約した MOS Note は、January 2019 Critical Patch Update: Executive Summary and Analysisよりご覧ください。
影響を受ける製品及びコンポーネント
本Critical Patch Updateで対応がなされているセキュリティ脆弱性は、下記にリストされた製品に影響を及ぼします。 製品エリアは、Patch Availability Document カラムに示されています。 パッチの利用可能情報およびインストレーションの説明に関する文書は、下記の Patch Availability Document カラムのリンクをクリックしてご参照ください。
Note:
- Oracle DatabaseおよびOracle Fusion Middlewareに影響する脆弱性は、Oracle Fusion Applicationsに影響する可能性があるため、Fusion Application環境に適用するパッチ情報のOracle Fusion Applications Critical Patch Update Knowledge Document, My Oracle Support Note 1967316.1をご参照ください。
- Oracle Solaris に影響する脆弱性は Oracle ZFSSA に影響しますので、お客様は Oracle and Sun Systems Product Suite Critical Patch Update の文書を参照する必要があります。 Critical Patch Updates と Solaris Third Party bulletin で公開された ZFSSA の問題を解消するために要求されるセキュリティ修正の最小リビジョンの情報は My Oracle Support Note 2160904.1 にあります。
- ブラウザでJava SEをご使用のお客様は、最新のリリースを http://java.com よりダウンロードできます。 WindowsおよびMac OS Xプラットフォームのお客様は、最新のリリースを入手するための自動更新も使用できます。
リスク・マトリクス
リスク・マトリクスでは、本アドバイザリで示される新たな脆弱性のみをご案内しています。 以前のセキュリティ修正に対するリスク・マトリクスは、Critical Patch Update advisories(日本語翻訳ページ)から参照いただけます。 文章形式のリスク・マトリクス(英語)はこちらから参照いただけます。
本Critical Patch Updateで案内された脆弱性の幾つかは、複数の製品へ影響を及ぼします。 各脆弱性は、固有のCVE#で識別されています。 複数の製品に影響を及ぼす同一の脆弱性は、全リスク・マトリクス内で同じCVE#で表現されています。 イタリック体で表記されたCVE#は、この脆弱性は異なる製品に影響を及ぼす事が示されており、イタリック体のCVE#がリストされている製品にも影響があります。
セキュリティ脆弱性は CVSS バージョン 3.0 を使用してスコアされています (オラクル社がどのように CVSS 3.0 を適用しているかは Oracle CVSS Scoring をご覧ください)。
オラクル社は、Critical Patch Update によって案内されるそれぞれのセキュリティ脆弱性の分析を行います。 オラクル社は、その分析結果の詳細情報をお客様に公表しませんが、結果をまとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用するために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。 オラクル社はこのようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態に基づいてリスク分析を行って下さい。 詳細は、Oracle Security Vulnerability Disclosure Policies(日本語翻訳ページ)をご参照ください。
リスク・マトリクスに記載されるプロトコルは、もしセキュリティ形態を持つものがある場合は、そのプロトコルも影響される事を示しています。 たとえば、HTTPが影響を受けるプロトコルに記載されている場合、(使用可能であれば)HTTPSも同様に影響を受けることを示しています。 セキュリティ形態のみが影響を受ける場合には、そのプロトコルのセキュリティ形態がリスク・マトリクスに記載されます。 例えば、HTTPSはSSL/TLSにおける脆弱性のために記載されます。
回避策
攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早く Critical Patch Update の修正を適用されることを強く推奨します。 お客様の環境によっては、攻撃のために必要となるネットワーク・プロトコルを制限することで、攻撃が成功する危険性を軽減できる可能性があります。 ある特定の権限、または、ある特定のパッケージへのアクセスを必要とする攻撃に対し、その権限を必要としないユーザーから権限またはパッケージへのアクセスを削除することで、攻撃が成功する恐れを低減できる可能性があります。 これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を非プロダクション・システム(本番環境ではない環境)でテストされることを強く推奨します。 いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な解決策として見なすべきではありません。
Critical Patch Updateの省略
オラクル社はセキュリティ修正をできるだけ早く適用する事を強く推奨しています。 1つまたはそれ以上の Critical Patch Update の適用を行っておらず、今回のCPUでセキュリティ修正のアナウンスが無かった製品について確認をする場合は、以前のCritical Patch Update advisories(日本語翻訳ページ)をご確認ください。
Critical Patch Updateを提供する製品とバージョン
Critical Patch Updateプログラムにより提供されるパッチは、Lifetime Support Policy(日本語翻訳ページ)におけるPremier SupportまたはExtended Support期間にある製品バージョンに対して提供されます。 オラクル社は、Critical Patch Updateプログラムにより提供されるパッチを、確実に入手可能な製品バージョンへのアップグレードを計画されることを推奨します。
Premier SupportまたはExtended Support期間では無い製品リリースでは、本Critical Patch Updateで示されるセキュリティ脆弱性に関する検証を実施しておりません。 しかしながら、影響を受けるリリースの、より初期(earlier)のバージョンでは、これらの脆弱性の影響を受ける恐れがあります。 そのため、サポート中のバージョンへのアップグレードをお勧め致します。
Database、Fusion Middleware、Oracle Enterprise Manager 製品では、Software Error Correction Support Policy, My Oracle Support Note 209768.1(日本語翻訳文書)に従ってパッチが提供されます。 また、各サポートフェーズやサポート方針については、Technical Support Policies(日本語翻訳ページ)をご確認下さい。
謝辞
本Critical Patch Updateに含まれる脆弱性は、次の方々により発見・報告されました(敬称略)。
- An Example working with Trend Micro Zero Day Initiative: CVE-2019-2554
- Andrej Simko of Accenture: CVE-2019-2497
- Andrej Simko of Accenture working with iDefense Labs: CVE-2019-2400, CVE-2019-2445, CVE-2019-2447, CVE-2019-2470, CVE-2019-2485, CVE-2019-2491, CVE-2019-2492, CVE-2019-2496, CVE-2019-2497
- Andres Georgieff of Sandia National Laboratories: CVE-2019-2419, CVE-2019-2439
- Anonymous Researcher: CVE-2019-2511
- Anonymous researcher working with Trend Micro's Zero Day Initiative: CVE-2019-2524, CVE-2019-2525, CVE-2019-2526
- Behzad Najjarpour Jabbari, Secunia Research at Flexera Software: CVE-2016-9389, CVE-2016-9583, CVE-2017-14229, CVE-2019-2456, CVE-2019-2457, CVE-2019-2458, CVE-2019-2459, CVE-2019-2460, CVE-2019-2461, CVE-2019-2462, CVE-2019-2463, CVE-2019-2464, CVE-2019-2465, CVE-2019-2466, CVE-2019-2467, CVE-2019-2468, CVE-2019-2469
- Bui Thanh of Aalto University: CVE-2019-2503
- cPanel Security Team: CVE-2019-2537
- Daniel Kalinowski of LLama's Bytes: CVE-2019-2398
- Deapesh Misra of iDefense, Accenture: CVE-2019-2496
- E. Anonymous working with Trend Micro Zero Day Initiative: CVE-2019-2450
- Eddie Zhu of Beijing DBSEC Technology Co., Ltd: CVE-2019-2444
- emanon noname: CVE-2019-2426
- Ex Allocate Pool With Tag working with Trend Micro Zero Day Initiative: CVE-2019-2451
- Exhibit A working with Trend Micro Zero Day Initiative: CVE-2019-2555
- Guillaume Teissier of Orange CERT-CC: CVE-2019-2399
- Huy Ngo (Viettel Cyber Security) working with Trend Micro's Zero Day Initiative: CVE-2019-2520, CVE-2019-2521, CVE-2019-2522, CVE-2019-2523
- Huy Ngo of Viettel Cyber Security: CVE-2019-2509
- Ionel Cristinel Anichitei of Bit Defender: CVE-2019-2508
- Jason Matthyser of MWR Labs working with Trend Micro Zero Day Initiative: CVE-2019-2548
- Jayson Grace of Sandia National Laboratories: CVE-2019-2419, CVE-2019-2423
- Jonathan Jacobi: CVE-2019-2556
- Kamlapati Choubey of Trend Micro's Zero Day Initiative: CVE-2018-3147
- Karl Henselin: CVE-2019-2538
- Kasper Leigh Haabb, Secunia Research at Flexera: CVE-2016-9389, CVE-2016-9392, CVE-2017-13745, CVE-2019-2472, CVE-2019-2473, CVE-2019-2474, CVE-2019-2475, CVE-2019-2476, CVE-2019-2477, CVE-2019-2478, CVE-2019-2479, CVE-2019-2480
- Lukasz Mikula: CVE-2019-2427
- Maciej Grabiec: CVE-2019-2414
- Marcin Wo?oszyn of ING Services Polska: CVE-2019-2415
- Marios Gyftos: CVE-2019-2430, CVE-2019-2431, CVE-2019-2432
- Mark Haase: CVE-2019-2413
- Michal Bazyli: CVE-2019-2414
- Mohamed M. Fouad of SecureMisr: CVE-2019-2413
- Mohamed Sayed of SecureMisr: CVE-2019-2453
- Mohamed Yusuf of SecureMisr: CVE-2019-2549, CVE-2019-2550
- Niklas Baumstark working with Trend Micro's Zero Day Initiative: CVE-2019-2446, CVE-2019-2448, CVE-2019-2525
- Piotr Madej of ING Tech Poland: CVE-2019-2395
- Quang Nguyen of Viettel Cyber Security: CVE-2019-2509
- rack911labs.com: CVE-2019-2537
- Rajesh Tv: CVE-2019-2396
- Reno Robert: CVE-2019-2552, CVE-2019-2553
- rgod of 9sg Security Team working with Trend Micro's Zero Day Initiative: CVE-2019-2449
- Root Object working with Trend Micro's Zero Day Initiative: CVE-2019-2500, CVE-2019-2501, CVE-2019-2504, CVE-2019-2505, CVE-2019-2506
- Saif ElSherei of Microsoft Corp: CVE-2019-2429
- Stamatis Kapiris: CVE-2019-2430, CVE-2019-2431, CVE-2019-2432
- Steven Seely of Source Insight working with iDefense: CVE-2018-3304, CVE-2018-3305
- Zhiyi Zhang of 360 ESG Codesafe Team: CVE-2019-2398, CVE-2019-2452
- Zhouyuan Yang of Fortinet's FortiGuard Labs: CVE-2019-2527
Security-In-Depth Contributors
オラクル社は、弊社のSecurity-In-Depthプログラム(FAQ)に貢献して下さった方々に謝意を表明します。 このSecurity-In-Depthプログラムとは、Critical Patch Updateでの対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
本Critical Patch Updateアドバイザリでは、オラクル社は、次の方々のSecurity-In-Depthプログラムへの貢献に謝意を表明します(敬称略)。
- Amardeep Chana of MWR InfoSecurity
- George R of Advanced Information Security Corporation
- Jarrod Farncomb of TSS
- Lukasz Rupala
- Maksymilian Arciemowicz
- Martin Balao of Red Hat
- Michael Weissbacher of Northeastern University
- Zhiyi Zhang of 360 ESG Codesafe Team
On-Line Presence Security Contributors
オラクル社は、弊社のOn-Line Presence Securityプログラム(FAQ)に貢献して下さった方々に謝意を表明します。 このOn-Line Presence Securityプログラムとは、Oracleの外部向けオンライン・システムの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
この四半期では、オラクル社は、次の方々のOn-Line Presence Securityプログラムへの貢献に謝意を表明します(敬称略)。
- Abhishek Misal
- Abu
- Arun Mishra
- Ben Murray
- Markus Pieton of Code White
- Mohit Kumar
- Nicolas Santiago Miguez of Deloitte Risk Advisory Pty Ltd
- Niraj Gautam of Light Pay Coin
- nullx0c0de
- Osman Ahmed Hassan
- Ranjeet Jaiswal
- Sarapremashish Butola
- Seth Duda
- Shoeb Patel (CaptainFreak)
- Srinivas M
Critical Patch Updateのスケジュール
Critical Patch Updateは、1月、4月、7月、10月の17日に最も近い火曜日に公開されます。今後4回のCPUの予定です(米国時間におけるOracle Technology Networkへの公開)。
- 2019年4月16日
- 2019年7月16日
- 2019年10月15日
- 2020年1月14日
参照情報
- Oracle Critical Patch Updates, Security Alerts and Bulletins
- Critical Patch Update - January 2019 Documentation Map
- Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions
- Risk Matrix Definitions
- Use of Common Vulnerability Scoring System (CVSS) by Oracle
- English text version of the risk matrices
- CVRF XML version of the risk matrices
- Map of CVE to Advisory
- Software Error Correction Support Policy
参考情報
- BEA Security Advisories Archive Page (日本語翻訳ページ)
- Oracle Technical Support Policies [ Oracle.com ](日本語翻訳ページ)
- Oracle Lifetime Support Policies [ Oracle.com ](日本語翻訳ページ)
原典
- Oracle Critical Patch Update Advisory - January 2019 [ Oracle Technology Network ]
修正履歴
2019年01月15日
Rev 1. Initial Release