[CPUOct2005] Critical Patch Update - October 2005
[概要]
Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。
[影響を受けるサポート対象製品及びコンポーネント]
本 Critical Patch Update で示されるセキュリティの脆弱性は、カテゴリー1、2及び
3のリストに記載された製品へ影響を及ぼします。
カテゴリー1:
フル・サポートまたは延長メンテナンス・サポート対象の製品とバージョン
- Oracle Database 10g Release 2, version 10.2.0.1
- Oracle Database Server 10g Release 1, versions 10.1.0.3, 10.1.0.4
- Oracle9i Database Server Release 2, versions 9.2.0.5, 9.2.0.6, 9.2.0.7
- Oracle8i Database Server Release 3, version 8.1.7.4
- Oracle Enterprise Manager 10g Grid Control, versions 10.1.0.3, 10.1.0.4
- Oracle Application Server 10g Release 2, versions 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2
- Oracle Application Server 10g Release 1 (9.0.4), versions 9.0.4.1, 9.0.4.2
- Oracle Collaboration Suite 10g Release 1, version 10.1.1
- Oracle9i Collaboration Suite Release 2, version 9.0.4.2
- Oracle Workflow, versions 2.6.2, 2.6.3, 2.6.3.5, 2.6.4
- Oracle E-Business Suite Release 11i, versions 11.5.1 - 11.5.10 及び 11.5.10 CU2
- Oracle E-Business Suite Release 11.0
- Oracle Clinical, versions 4.5.0 and 4.5.1
カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネント
- Oracle Database Server 10g Release 1, version 10.1.0.4.2
- Oracle Developer Suite, versions 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0
- Oracle Enterprise Manager Application Server Control, versions 9.0.4.1, 9.0.4.2
- Oracle Enterprise Manager 10g Database Control, versions 10.1.0.3, 10.1.0.4
カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品
- Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
- Oracle8 Database Server Release 8.0.6, version 8.0.6.3
- Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1
- Oracle9i Application Server Release 1, version 1.0.2.2
[フル・サポート期間が終了した製品]
サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
データベースおよびアプリケーション・サーバーに関する不具合修正のポリシー
(KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。しかしながら、影響
を受けるリリースより初期のパッチセット・レベルでは、脆弱性の影響を受ける可能性が
あります。
[クライアント製品のみをインストールした場合]
本Critical Patch Update で示される新たなデータベースの脆弱性は、クライアント製
品のみがインストールされた環境(データベースがインストールされていない環境)へは影
響しません。そのため、クライアント製品のみがインストールされた環境へ、すでに以前
のCritical Patch Updateが適用されている、またはSecurity Alert #68 のパッチが適用
されている場合、本パッチを適用する必要はありません。
[パッチとリスク・マトリクス]
Critical Patch Update では、Oracle Database Server, Enterprise Manager, Oracle
Application Server 及び Oracle Collaboration Suite に関するパッチは累積的なもの
です。各々の継続的なCritical Patch Updateは、以前のCritical Patch Updateのすべ
ての修正を含みます。以前のCritical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。
・セキュリティアラート情報
http://www.oracle.com/technology/global/jp/security/index.html
E-Business Suite のパッチは累積的ではありませんので、E-Business Suiteのユーザー
は、自らが適用することを望む以前の修正を確認するために、以前のCritical Patch Update
を照会しなければなりません。
運用中の各々のオラクル製品について、Pre-Installation(製品毎にKROWNとして公開)
からパッチ情報及びインストール手順を確認してください。
Critical Patch Update に関連した文書(KROWN)は OiSC (OiSC:Oracle internet
Support Center) の次のサイトに集約されます。
- Critical Patch Update - October 2005
(URL:http://support.oracle.co.jp/patchinfo/CPU/CPUOct2005.html) (2005年10月21日公開)
[Oracle Database Server]
- Oracle Database Server に関する脆弱性の深刻度を判断するために次のリスク・マ
トリクスを確認します。
・「Critical Patch Update - October 2005 / Appendix A」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix A)
Appendix A
Oracle Database Server Risk Matrix
Critical Patch Update - October 2005
- CPUCot2005 のパッチ を Oracle Database Server へ適用される場合は、事前に
KROWN:107017 を確認します。
・KROWN:107017 [CPUOct2005] Oracle Database パッチ適用前の注意事項
[Oracle Enterprise Manager ]
- Oracle Enterprise Manager に関する脆弱性の深刻度を判断するため
に次のリスク・マトリクスを確認します。
・「Critical Patch Update - October 2005 / Appendix E」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix E)
Appendix E
Oracle Enterprise Manager Risk Matrix
Critical Patch Update - October 2005
- CPUOct2005 のパッチ を Oracle Enterprise Manager Grid Control へ適用する場合は、
事前に KROWN:107019 を確認します。
・KROWN:107019 [CPUOct2005] Oracle EM Grid Control パッチ適用前の注意事項
[Oracle Application Server]
- Oracle Application Server に関する脆弱性の深刻度を判断するために次のリスク・
マトリクスを確認します。
・「Critical Patch Update - October 2005 / Appendix B」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix B)
Appendix B
Oracle Application Server Risk Matrix
Critical Patch Update - October 2005
- CPUOct2005 のパッチ を Oracle Application Server へ適用される場合は、事前に
KROWN:107018 を確認します。
・KROWN:107018 [CPUOct2005] Oracle Application Server パッチ適用前の注意事項
[Oracle Collaboration Suite]
- Oracle Collaboration Suite に関する脆弱性の深刻度を判断するために次のリスク・
マトリクスを確認します。
・「Critical Patch Update - October 2005 / Appendix C」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix C)
Appendix C
Oracle Collaboration Suite Risk Matrix
Critical Patch Update - October 2005
- CPUOct2005 のパッチ を Oracle Collaboration Suite へ適用する場合は、事前に
KROWN:107020 を確認します。
・KROWN:107020 [CPUOct2005] Oracle Collaboration Suite パッチ適用前の注意事項
[Oracle E-Business and Applications]
- Oracle E-Business and Applications に関する脆弱性の深刻度を判断するために次
のリスク・マトリクスを確認します。
・「Critical Patch Update - October 2005 / Appendix D」
(URL:http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html#Appendix D)
Appendix D
Oracle E-Business Suite Risk Matrix
Critical Patch Update - October 2005
- CPUOct2005 のパッチ を Oracle E-Business and Applications へ適用される場合は、
事前に KROWN:107021 を確認します。
・KROWN:107021 [CPUOct2005] Oracle E-Business Suite パッチ適用前の注意事項
[リスク・マトリクス]
このリスク・マトリクスでは、このアドバイザリー(CPUOct2005)で示される新たな
脆弱性だけをリストします。以前のCritical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。
・セキュリティアラート情報
http://www.oracle.com/technology/global/jp/security/index.html
[1つの脆弱性が複数のリスク・マトリクスで報告された場合]
本Critical Patch Update で報告されたいくつかの脆弱性は、Database Server と
Application Server 製品の双方で報告されています。リスク・マトリクスでは、双方
のリスク・マトリクスから同じ Vuln # を指定することでその脆弱性が共通であること
を示します。
[リスク・マトリクスの定義]
リスク・マトリクスで使用される用語は、KROWN:94992 を参照ください。
・KROWN:94992 [CPU] Risk Matrix(リスク・マトリクス)用語解説
[リスク分析と複合的な攻撃について]
オラクルは脆弱性の危険性とその影響度について、各々の潜在的な脆弱性について
別々に分析しました。オラクルは可能性や複合的な攻撃に対してはその分析を行いま
せん。 例えば、一回の攻撃においてそれらが組み合わされた場合などが該当します。
[Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
報の方針声明]
オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、
関連するドキュメントへ記載されます。
たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用された
場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環境に
応じたリスク分析を実施することが可能です。
オラクルの方針として、CPUまたはセキュリティ・アラート、パッチ適用前の注意事項、
READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性の詳細に関する付加
的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたはセキュリティ・ア
ラート等の事前の通知、または「インサイダー情報」を提供いたしません。
また、オラクルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の
開発・提供も行っておりません。
[フル・サポート期間が終了した製品バージョンへのCritical Patch Updateの有効性]
延長メンテナンス・サポートを締結された顧客はCritical Patch Updateを利用いただ
けます。OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、延長
メンテナンス・サポートが特定のリリースとプラットホーム(EMSが利用できる特定の期
間だけでなく)に利用できるかどうかを確認いただけます。
アシスタンス・サポート(ES:Extended Support)製品のための有効なライセンスを持つ
お客様は、既存の修正モジュールを入手する権利があります。しかし、パッチの使用に起
因して発生する新たな問題は、アシスタンス・サポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視
野に入れた、パッチ適用計画を立案していただく必要があります。
オラクルは延長メンテナンス・サポート(EMS)の対象とならない製品バージョンへは
Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。
[参照情報]
-「Critical Patch Update - October 2005 / Appendix」
本KROWN内で引用されたこの「Critical Patch Update - October 2005 / Appendix」は
以下のURLから各Appendix への参照を作成しております。
( URL:http://support.oracle.co.jp/patchinfo/CPU/CPUOct2005.html )
- KROWN:92731 「Critical Patch Update」に関する一般的なFAQ
- KROWN:54775 データベースおよびアプリケーション・サーバーに関する不具合修正
のポリシー
- KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」
- KROWN:107017 [CPUOct2005] Oracle Database パッチ適用前の注意事項
- KROWN:107018 [CPUOct2005] Oracle Application Server パッチ適用前の注意事項
- KROWN:107020 [CPUOct2005] Oracle Collaboration Suite パッチ適用前の注意事項
- KROWN:107021 [CPUOct2005] Oracle E-Business Suite パッチ適用前の注意事項
- 「テクニカル・サポート・ポリシー」
(URL:http://www.oracle.com/lang/jp/support/policies.html)
- 「セキュリティアラート情報 」
(URL:http://www.oracle.com/technology/global/jp/security/index.html)
[謝辞]
本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。
- Brian Carr
- Sacha Faust of S.P.I. Dynamics, Inc.
- Esteban Martínez Fayó of Application Security, Inc.
- Alexander Kornbrust of Red Database Security
- Steven Kost of Integrigy Corporation
- David Litchfield of NGSS Limited
- noderat ratty
- Keigo Yamazaki of Little eArth Corporation Co., Ltd.
[原典]
本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。
- MetaLink Document ID 333953.1
「Critical Patch Update - October 2005」
2005年10月18日 Initial release, version 1
- 2005年12月29日までに、Note:333953.1 の 2005年12月19日版を基に更新しました。
(訳注)
本文書内で使用される用語につきましては、弊社ホームページの「テクニカル・サポー
ト・ポリシー」のページをご確認ください。(URL : http://www.oracle.com/lang/jp/support/policies.html)
本文書内で使用いたします以下の用語が説明されております。
- サポート・サービス・レベル
- フル・サポート(ECS:Error Correction Support)
- アシスタンス・サポート(ES:Extended Support)
- 延長メンテナンス・サポート(EMS:Extended Maintenance Support)
本文書内では特に明記されない限りつぎの解釈となります。
- 単独で「サポート」と表記される場合は、上記「フル・サポート」を意味します。
- 「サポート期間」と表記される場合は、上記「フル・サポート」が有効な期間を
意味します。
- 延長メンテナンス・サポート契約をご締結のお客様は、ご契約対象の弊社製品・リ
リースにつきまして上記「フル・サポート」に準じます。この場合も含んで単に
「サポート期間」と記述されていることがあります。
[更新履歴]
2008/05/12 日本オラクルホームページURLを変更
2005/12/29 Oracle Database 10g Release 2, version 10.2.0.1 をカテゴリー1へ追記
(これに関連して、リスク・マトリクスを更新いたしました)
2005/12/29 Oracle Workflow をカテゴリー2からカテゴリー1へ変更
2005/10/31 Oracle Enterprise Manager に関するKROWNとパッチの公開予定日を削除(10/25公開済み)
2005/10/21 Oracle Enterprise Manager に関するKROWNとパッチの公開予定日を記載
2005/10/21 本文書を公開
|
Topics
Printer View