[概要]
Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。
Critical Patch Update では、Oracle Database Server, Enterprise Manager, 及び
Oracle Application Server に関するパッチは累積的なものです。各々の継続的なCritical
Patch Updateは、以前のCritical Patch Updateの修正を含みます。
[影響を受けるサポート対象の製品]
次のサポート対象となる製品リリースとバージョンは本 Critical Patch Update で示
されるセキュリティの脆弱性の影響を受けます。
- Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3, 10.1.0.4
- Oracle9i Database Server Release 2, versions 9.2.0.5, 9.2.0.6
- Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
- Oracle8i Database Server Release 3, version 8.1.7.4
- Oracle8 Database Release 8.0.6, version 8.0.6.3
- Oracle Enterprise Manager Grid Control 10g, versions 10.1.0.2, 10.1.0.3
- Oracle Enterprise Manager 10g Database Control, versions 10.1.0.2, 10.1.0.3, 10.1.0.4
- Oracle Enterprise Manager Application Server Control, versions 9.0.4.0, 9.0.4.1
- Oracle Application Server 10g (9.0.4), versions 9.0.4.0, 9.0.4.1
- Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1
- Oracle9i Application Server Release 1, version 1.0.2.2
- Oracle Collaboration Suite Release 2, versions 9.0.4.1, 9.0.4.2
- Oracle E-Business Suite and Applications Release 11i, versions 11.5.1 - 11.5.10
- Oracle E-Business Suite and Applications Release 11.0
- Oracle Workflow, versions 11.5.1 - 11.5.9.5
- Oracle Forms and Reports, versions 4.5.10.22, 6.0.8.25
- Oracle JInitiator, versions 1.1.8, 1.3.1
- Oracle Developer Suite, versions 9.0.2.3, 9.0.4, 9.0.4.1, 9.0.5, 10.1.2
- Oracle OLAP Server, version 6.3.4.0
上記に掲載されたすべての製品リリースとバージョンは、本 Critical Patch Update で
修正されたセキュリティの脆弱性の影響を受けます。しかしながら、これらの製品リリース
とバージョンの中には、特定の構成において他の製品との組み合わせで使用する、または
特定のプラットホーム上でのみサポート対象となるものがあります。上記にリストされた
製品に関するパッチの適用範囲については、各製品ごとの「パッチ適用前の注意事項」に
詳細な記述がありますので、そちらをご確認ください。
[フル・サポート期間が終了した製品]
サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
データベースおよびアプリケーション・サーバーに関する不具合修正のポリシー
(KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。しかしながら、影響
を受けるリリースより初期のパッチセット・レベルでは、脆弱性の影響を受ける可能性が
あります。
[クライアント製品のみをインストールした場合]
本Critical Patch Update で示される新たなデータベースの脆弱性は、クライアント製
品のみがインストールされた環境(データベースがインストールされていない環境)へは影
響しません。そのため、クライアント製品のみがインストールされた環境へ、すでに以前
のCritical Patch Updateが適用されている、またはSecurity Alert #68 のパッチが適用
されている場合、本パッチを適用する必要はありません。
[パッチとリスク・マトリクス]
運用中の各々のオラクル製品について、Pre-Installation(製品毎にKROWNとして公開)
からパッチ情報及びインストール手順を確認してください。
Critical Patch Update に関連した文書(KROWN)は OiSC (OiSC:Oracle internet
Support Center) の次のサイトに集約されます。
- Critical Patch Update - July 2005
(URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2005.html) (2005年 7月15日公開)
[Oracle Database Server]
- Oracle Database Server に関する脆弱性の深刻度を判断するために次のリスク・マ
トリクスを確認します。
・「Critical Patch Update - July 2005 / Appendix A」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html#Appendix A)
Appendix A
Oracle Database Server Risk Matrix
Critical Patch Update - July 2005
- CPUJul2005 のパッチ を Oracle Database Server へ適用される場合は、事前に
KROWN:102746 を確認します。
・KROWN:102746 [CPUJul2005] Oracle Database パッチ適用前の注意事項
[Oracle Enterprise Manager ]
- Oracle Enterprise Manager に関する脆弱性の深刻度を判断するため
に次のリスク・マトリクスを確認します。
・「Critical Patch Update - July 2005 / Appendix E」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html#Appendix E)
Appendix E
Oracle Enterprise Manager Risk Matrix
Critical Patch Update - July 2005
- CPUJul2005 のパッチ を Oracle Enterprise Manager Grid Control へ適用する場合は、
事前に KROWN:102750 を確認します。
・KROWN:102750 [CPUJul2005] Oracle EM Grid Control パッチ適用前の注意事項
[Oracle Application Server]
- Oracle Application Server に関する脆弱性の深刻度を判断するために次のリスク・
マトリクスを確認します。
・「Critical Patch Update - July 2005 / Appendix B」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html#Appendix B)
Appendix B
Oracle Application Server Risk Matrix
Critical Patch Update - July 2005
- CPUJul2005 のパッチ を Oracle Application Server へ適用される場合は、事前に
KROWN:102747 を確認します。
・KROWN:102747 [CPUJul2005] Oracle Application Server パッチ適用前の注意事項
[Oracle Collaboration Suite]
- Oracle Collaboration Suite に関する脆弱性の深刻度を判断するために次のリスク・
マトリクスを確認します。
・「Critical Patch Update - July 2005 / Appendix C」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html#Appendix C)
Appendix C
Oracle Collaboration Suite Risk Matrix
Critical Patch Update - July 2005
- CPUJul2005 のパッチ を Oracle Collaboration Suite へ適用する場合は、事前に
KROWN:102748 を確認します。
・KROWN:102748 [CPUJul2005] Oracle Collaboration Suite パッチ適用前の注意事項
[Oracle E-Business and Applications]
- Oracle E-Business and Applications に関する脆弱性の深刻度を判断するために次
のリスク・マトリクスを確認します。
・「Critical Patch Update - July 2005 / Appendix D」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.html#Appendix D)
Appendix D
Oracle E-Business Suite Risk Matrix
Critical Patch Update - July 2005
- CPUJul2005 のパッチ を Oracle E-Business and Applications へ適用される場合は、
事前に KROWN:102749 を確認します。
・KROWN:102749 [CPUJul2005] Oracle E-Business Suite パッチ適用前の注意事項
[リスク・マトリクス]
このリスク・マトリクスでは、このアドバイザリー(CPUJul2005)で示される新たな
脆弱性だけをリストします。Critical Patch Update では、Oracle Database Server,
Enterprise Manager, 及び Oracle Application Server に関するパッチは累積的なもの
です。各々の継続的なCritical Patch Updateは、以前のCritical Patch Updateのすべ
ての修正を含みます。以前のCritical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。
・セキュリティアラート情報
http://www.oracle.com/technology/global/jp/security/index.html
E-Business Suite のパッチは累積的ではありませんので、E-Business Suiteのユー
ザーは、自らが適用することを望む以前の修正を確認するために、以前のCritical Patch
Update を照会しなければなりません。
Collaboration Suite のパッチは累積的ではありませんので、Collaboration Suiteの
ユーザーは、自らが適用することを望む以前の修正を確認するために、以前のCritical
Patch Update を照会しなければなりません。
[1つの脆弱性が複数のリスク・マトリクスで報告された場合]
本Critical Patch Update で報告されたいくつかの脆弱性は、Database Server と
Application Server 製品の双方で報告されています。リスク・マトリクスでは、双方
のリスク・マトリクスから同じ Vuln # を指定することでその脆弱性が共通であること
を示します。
[リスク・マトリクスの定義]
リスク・マトリクスで使用される用語は、KROWN:94992 を参照ください。
・KROWN:94992 [CPU] Risk Matrix(リスク・マトリクス)用語解説
[リスク分析と複合的な攻撃について]
オラクルは脆弱性の危険性とその影響度について、各々の潜在的な脆弱性について
別々に分析しました。オラクルは可能性や複合的な攻撃に対してはその分析を行いま
せん。 例えば、一回の攻撃においてそれらが組み合わされた場合などが該当します。
[Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
報の方針声明]
オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、
関連するドキュメントへ記載されます。
たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用された
場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環境に
応じたリスク分析を実施することが可能です。
オラクルの方針として、CPUまたはセキュリティ・アラート、パッチ適用前の注意事項、
READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性の詳細に関する付加
的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたはセキュリティ・ア
ラート等の事前の通知、または「インサイダー情報」を提供いたしません。
また、オラクルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の
開発・提供も行っておりません。
[延長メンテナンス・サポートを締結されたお客様へのCritical Patch Updateの有効性]
延長メンテナンス・サポートを締結された顧客はCritical Patch Updateを利用いただ
けます。OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、延長
メンテナンス・サポートが特定のリリースとプラットホーム(EMSが利用できる特定の期
間だけでなく)に利用できるかどうかを確認いただけます。
アシスタンス・サポート(ES:Extended Support)製品のための有効なライセンスを持つ
お客様は、既存の修正モジュールを入手する権利があります。しかし、パッチの使用に起
因して発生する新たな問題は、アシスタンス・サポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視
野に入れた、パッチ適用計画を立案していただく必要があります。
オラクルは延長メンテナンス・サポート(EMS)の対象とならない製品バージョンへは
Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。
[参照情報]
-「Critical Patch Update - July 2005 / Appendix」
本KROWN内で引用されたこの「Critical Patch Update - July 2005 / Appendix」は
以下のURLから各Appendix への参照を作成しております。
( URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2005.html )
- KROWN:92731 「Critical Patch Update」に関する一般的なFAQ
- KROWN:54775 データベースおよびアプリケーション・サーバーに関する不具合修正
のポリシー
- KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」
- KROWN:102746 [CPUJul2005] Oracle Database パッチ適用前の注意事項
- KROWN:102747 [CPUJul2005] Oracle Application Server パッチ適用前の注意事項
- KROWN:102748 [CPUJul2005] Oracle Collaboration Suite パッチ適用前の注意事項
- KROWN:102749 [CPUJul2005] Oracle E-Business Suite パッチ適用前の注意事項
- KROWN:102750 [CPUJul2005] Oracle EM Grid Control パッチ適用前の注意事項
- 「テクニカル・サポート・ポリシー」
(URL:http://www.oracle.com/lang/jp/support/policies.html)
- 「セキュリティアラート情報 」
(URL:http://www.oracle.com/technology/global/jp/security/index.html)
[謝辞]
このCritical Patch Updateに含まれる脆弱性は、下記の方々により発見・報告されま
した。
- Gerhard Eschelbeck of Qualys, Inc.
- Esteban Martinez Fayo of Application Security, Inc.
- Alexander Kornbrust of Red Database Security
- Stephen Kost of Integrigy
- David Litchfield of NGSS Limited
- Michael Murray of nCircle Network Security
- Aaron C. Newman of Application Security, Inc.
- Mike Sues of Rigel Kent Security.
(敬称略)
[原典]
本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。
- MetaLink Document ID 311034.1
「Critical Patch Update - July 2005」
2005年 7月12日 Initial release, version 1
(訳注)
本文書内で使用される用語につきましては、弊社ホームページの「テクニカル・サポー
ト・ポリシー」のページをご確認ください。(http://www.oracle.co.jp/support/policies.html)
本文書内で使用いたします以下の用語が説明されております。
- サポート・サービス・レベル
- フル・サポート(ECS:Error Correction Support)
- アシスタンス・サポート(ES:Extended Support)
- 延長メンテナンス・サポート(EMS:Extended Maintenance Support)
本文書内では特に明記されない限りつぎの解釈となります。
- 単独で「サポート」と表記される場合は、上記「フル・サポート」を意味します。
- 「サポート期間」と表記される場合は、上記「フル・サポート」が有効な期間を
意味します。
- 延長メンテナンス・サポート契約をご締結のお客様は、ご契約対象の弊社製品・リ
リースにつきまして上記「フル・サポート」に準じます。この場合も含んで単に
「サポート期間」と記述されていることがあります。
[更新履歴]
2008/05/12 日本オラクルホームページURLを変更
2005/08/23 Oracle Enterprise Manager に関する情報を更新
2005/07/15 本文書を公開
|
Topics
Printer View