Critical Patch UpdateとSecurity Alertsで提供される情報の方針声明


オラクル社は、Critical Patch Update(CPU)またはSecurity Alertによって対処される各々のセキュリティ脆弱性の分析を行います。セキュリティ分析の結果は、CPUまたはSecurity Alertの深刻度へ反映され、関連するドキュメントへ記載されます。たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件、そして脆弱性が利用された場合の影響について提供します。この情報により、お客様は製品の使用環境に応じて一定のリスク分析を実施することが可能です。

オラクル社の方針として、CPUまたはSecurity Alert、パッチ適用前の注意事項、READMEファイル、FAQで提供される情報以外には、オラクル社は脆弱性の詳細に関する付加的な情報を提供いたしません。オラクル社は全てのお客様に同時に同じ情報を提供することで、全てのお客様の安全を確保しています。オラクル社は、個別のお客様にCPUまたはSecurity Alertの事前通知や「インサイダー情報」を提供いたしません。また、弊社製品の脆弱性に関連する脆弱性実証コード(Exploit code or Proof-of-Concept code)の開発・提供も行っておりません。

製品のセキュリティ脆弱性の修正に関する方針とプロセスについては、下記のページをご参照ください。

また、オラクル製品とJavaの関係性については、下記の資料をご参照ください。(My Oracle Supportへのログインが必要です)

  • My Oracle Support Note 360870.1 explains the impact of Java security vulnerabilities on Oracle products(英文)
  • KROWN 126662 Oracle製品に対するJavaのセキュリティ上の脆弱性の影響 (翻訳版)