文書番号 110399 最終更新日 2008-05-12 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] GENERIC ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 92731   54775   110401   108001   110403   110404   110402  
概要 [CPUJan2006] Critical Patch Update - January 2006
内容:
[CPUJan2006] Critical Patch Update - January 2006

[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。


[影響を受けるサポート対象製品及びコンポーネント]
  本 Critical Patch Update で示されるセキュリティの脆弱性は、カテゴリー1、2及び
3のリストに記載された製品へ影響を及ぼします。

カテゴリー1:
フル・サポートまたは延長メンテナンス・サポート対象の製品とバージョン

 - Oracle Database 10g Release 2, version 10.2.0.1 
 - Oracle Database Server 10g Release 1, versions 10.1.0.3, 10.1.0.4 10.1.0.5
 - Oracle9i Database Server Release 2, versions 9.2.0.6, 9.2.0.7 
 - Oracle8i Database Server Release 3, version 8.1.7.4 
 - Oracle Enterprise Manager 10g Grid Control, versions 10.1.0.3, 10.1.0.4 
 - Oracle Application Server 10g Release 2, versions 10.1.2.0.0, 10.1.2.0.1, 10.1.2.0.2  10.1.2.1.0
 - Oracle Application Server 10g Release 1 (9.0.4), versions 9.0.4.1, 9.0.4.2 
 - Oracle Collaboration Suite 10g Release 1, version 10.1.1, 10.1.2
 - Oracle9i Collaboration Suite Release 2, version 9.0.4.2 
 - Oracle E-Business Suite Release 11i, versions 11.5.1 - 11.5.10 CU2
 - Oracle E-Business Suite Release 11.0

カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネント

 - Oracle Database Server 10g Release 1, version 10.1.0.4.2 
 - Oracle Developer Suite, versions 6i, 9.0.2.1, 9.0.4.1, 9.0.4.2, 10.1.2.0 
 - Oracle Workflow, versions 11.5.1 - 11.5.9.5 

カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品

 - Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS 
 - Oracle8 Database Server Release 8.0.6, version 8.0.6.3 
 - Oracle9i Application Server Release 1, version 1.0.2.2 

カテゴリー3の製品は、カテゴリー1製品の一部としてインストールされた場合にのみ、
これらの製品へのパッチを利用することができます。これらはサポート対象となる構成や
環境でのみ検証を行いました。各々の製品の固有の事案、パッチの提供状況やサポート
状況については、各々の製品の適用前注意事項のKROWN(Pre-Installation Note)を参照
ください。


[フル・サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch 
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
データベースおよびアプリケーション・サーバーに関する不具合修正のポリシー 
(KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。しかしながら、影響
を受けるリリースより初期のパッチセット・レベルでは、これらの脆弱性の影響を受ける
可能性があります。


[本Critical Patch Updateで新たに提供されるもの]
  オラクルは、特定のデフォルト・データベース・アカウントの安全性を確保する際に
カスタマーを支援することを目的とするデフォルトのアカウントとパスワードを検証
するユーティリティを提供します。ユーティリティは、Patch 4926128として入手する
ことができます。詳細は、KROWN:108001を参照ください。
このユーティリティは、セキュリティ・チェックリストで概説されている最も重要なセ
キュリティ・ガイドラインにとって代わるものではありませし、それは全てのデフォルト
・データベース・アカウントの状態を確かめることの重要性を軽んじるものでもありません。
Oracle E-Business Suiteカスタマーは、KROWN:71120 から、Note 189367.1(補足を参照)
を確認してください。
  製品を実装する前に、検証と推奨を分析することはカスタマーにとって避けることは
できません。

補足:
  KROWN:71120 Oracle E-Business Suite インストールとアップグレードに関する
              ドキュメントインデックス 
  Note: 189367.1はApps Net Japanのテクノロジ->運用の
  「EBSセキュリティ強化に向けて」として日本語で情報提供しています。
   Best Practices for Securing the E-Business Suite   (Note: 189367.1)


[Oracle Databaseのクライアント製品のみをインストールした場合]
  本Critical Patch Updateで示される以下の3つの問題は、クライアントのみインストール
された環境に該当するものです。(Oracle Databaseがインストールされていない環境)

  1つの脆弱さ(DBC02)は長い引数を与えられた場合、強制的にプログラムを終了させる
ことができるユーティリティの中にあります。それは、潜在的に攻撃者が選択したコード
を実行させらます。しかし、このユーティリティはsetuid(高められた)特権でインス
トールされないので、それが効果的に利用される危険性は非常に低いものです。

  問題(JN01)のうちの1つは、JDBCクライアントが匿名バインドを認めないように構成
される匿名サーバーと結合するのを可能にします。JDBCクライアントが OID serverへの
接続を使用しないか、匿名バインドが許可されたOID serverへ接続を行う場合、この特定
の問題は、クライアント製品のみがインストールされた環境へは適用されません。

  最後のクライアントのみの関連した脆弱さ(DBC01)は、Windowsの名前つきパイプ
に関連します。悪意のある人がリモートのデータベース・サーバーへ通信するために、
その後に用いられる名前をつけられたパイプを作成することができる場合にのみ、この
脆弱さは利用可能です。このような構成は稀なケースです。このような構成が行われて
いない場合は、この脆弱さを利用することはできません。

  クライアント製品のみをインストールした環境に適用される全ての3つの問題は、特定
の構成にのみ適用されるか、あるいは、その危険性は非常に低いものです。

  カスタマーは、そのクライアント製品のみがインストールされた環境のリスクを元に、
Critical Patch Updateを適用するプライオリティーを決めるように推奨されています。

  クライアント製品のみがインストールされた環境へ、すでに以前のCritical Patch Update
が適用されている、またはSecurity Alert #68 のパッチが適用されている場合、本パッチ
を適用する必要はありません。


[パッチとリスク・マトリクス]
  Critical Patch Update では、Oracle Database Server, Enterprise Manager, Oracle 
Application Server 及び Oracle Collaboration Suite に関するパッチは累積的なもの
です。各々の継続的なCritical Patch Updateは、以前のCritical Patch Updateのすべ
ての修正を含みます。以前のCritical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。

 ・セキュリティアラート情報 
    http://support.oracle.co.jp/lifecycle/alert/PL_SecurityAlert.html

  E-Business Suite のパッチは累積的ではありませんので、E-Business Suiteのユーザー
は、自らが適用することを望む以前の修正を確認するために、以前のCritical Patch Update
を照会しなければなりません。

  運用中の各々のオラクル製品について、Pre-Installation(製品毎にKROWNとして公開)
からパッチ情報及びインストール手順を確認してください。
Critical Patch Update に関連した文書(KROWN)は OiSC (OiSC:Oracle internet 
Support Center) の次のサイトに集約されます。

 - Critical Patch Update - January 2006
   (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2006.html) (2006年1月20日公開)


  [Oracle Database Server]
   - Oracle Database Server に関する脆弱性の深刻度を判断するために次のリスク・マ
     トリクスを確認します。
     ・「Critical Patch Update - January 2006 / Appendix A」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuJan2006.html#Appendix A)
        Appendix A
        Oracle Database Server Risk Matrix 
        Critical Patch Update - January 2006
   - CPUJan2006 のパッチ を Oracle Database Server へ適用される場合は、事前に 
     KROWN:110400 を確認します。
     ・KROWN:110400 [CPUJan2006] Oracle Database パッチ適用前の注意事項


  [Oracle Enterprise Manager ]
   - Oracle Enterprise Manager に関する脆弱性の深刻度を判断するため
     に次のリスク・マトリクスを確認します。
     ・「Critical Patch Update - January 2006 / Appendix E」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuJan2006.html#Appendix E)
         Appendix E
         Oracle Enterprise Manager  Risk Matrix
         Critical Patch Update - January 2006
   - CPUJan2006 のパッチ を Oracle Enterprise Manager Grid Control へ適用する場合は、
     事前に KROWN:110404 を確認します。
     ・KROWN:110404 [CPUJan2006] Oracle EM Grid Control パッチ適用前の注意事項


  [Oracle Application Server]
   - Oracle Application Server に関する脆弱性の深刻度を判断するために次のリスク・
     マトリクスを確認します。
     ・「Critical Patch Update - January 2006 / Appendix B」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuJan2006.html#Appendix B)
         Appendix B
         Oracle Application Server Risk Matrix
         Critical Patch Update - January 2006
   - CPUJan2006 のパッチ を Oracle Application Server へ適用される場合は、事前に
     KROWN:110401 を確認します。
     ・KROWN:110401 [CPUJan2006] Oracle Application Server パッチ適用前の注意事項


  [Oracle Collaboration Suite]
   - Oracle Collaboration Suite に関する脆弱性の深刻度を判断するために次のリスク・
     マトリクスを確認します。
     ・「Critical Patch Update - January 2006 / Appendix C」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuJan2006.html#Appendix C)
         Appendix C
         Oracle Collaboration Suite Risk Matrix
         Critical Patch Update - January 2006
   - CPUJan2006 のパッチ を Oracle Collaboration Suite へ適用する場合は、事前に
     KROWN:110402 を確認します。 
     ・KROWN:110402 [CPUJan2006] Oracle Collaboration Suite パッチ適用前の注意事項


  [Oracle E-Business and Applications]
   - Oracle E-Business and Applications に関する脆弱性の深刻度を判断するために次
     のリスク・マトリクスを確認します。
     ・「Critical Patch Update - January 2006 / Appendix D」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuJan2006.html#Appendix D)
        Appendix D
        Oracle E-Business Suite Risk Matrix
        Critical Patch Update - January 2006
   - CPUJan2006 のパッチ を Oracle E-Business and Applications へ適用される場合は、
     事前に KROWN:110403 を確認します。
     ・KROWN:110403 [CPUJan2006] Oracle E-Business Suite パッチ適用前の注意事項


 [リスク・マトリクス]
   このリスク・マトリクスでは、このアドバイザリー(CPUJan2006)で示される新たな
 脆弱性だけをリストします。以前のCritical Patch Update に対するリスク・マトリクスは、
 OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。
 
 ・セキュリティアラート情報 
    http://support.oracle.co.jp/lifecycle/alert/PL_SecurityAlert.html


 [1つの脆弱性が複数のリスク・マトリクスで報告された場合]
   本Critical Patch Update で報告されたいくつかの脆弱性は、Database Server と
 Application Server 製品の双方で報告されています。リスク・マトリクスでは、双方
 のリスク・マトリクスから同じ Vuln # を指定することでその脆弱性が共通であること
 を示します。


 [リスク・マトリクスの定義]
   リスク・マトリクスで使用される用語は、KROWN:94992 を参照ください。
   ・KROWN:94992 [CPU] Risk Matrix(リスク・マトリクス)用語解説


 [リスク分析と複合的な攻撃について]
   オラクルは脆弱性の危険性とその影響度について、各々の潜在的な脆弱性について
 別々に分析しました。オラクルは可能性や複合的な攻撃に対してはその分析を行いま
 せん。例えば、一回の攻撃においてそれらが組み合わされた場合などが該当します。


[Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
報の方針声明]
  オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、
関連するドキュメントへ記載されます。
たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用された
場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環境に
応じたリスク分析を実施することができます。
  オラクルの方針として、CPUまたはセキュリティ・アラート、パッチ適用前の注意事項、
READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性の詳細に関する付加
的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたはセキュリティ・ア
ラート等の事前の通知、または「インサイダー情報」を提供いたしません。
また、オラクルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の
開発・提供も行っておりません。


[フル・サポート期間が終了した製品バージョンへのCritical Patch Updateの有効性]
  延長メンテナンス・サポート(EMS)を締結された顧客はCritical Patch Updateを利用い
ただけます。OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、
延長メンテナンス・サポート(EMS)が特定のリリースとプラットホーム(EMSが利用できる
特定の期間だけでなく)に利用できるかどうかを確認いただけます。
  アシスタンス・サポート(ES)製品のための有効なライセンスを持つお客様は、既存の
修正モジュールを入手する権利があります。しかし、パッチの使用に起因して発生する新
たな問題は、アシスタンス・サポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視
野に入れた、パッチ適用計画を立案していただく必要があります。
  オラクルは延長メンテナンス・サポート(EMS)の対象とならない製品バージョンへは
Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。


[参照情報]
 -「Critical Patch Update - January 2006 / Appendix」
   本KROWN内で引用されたこの「Critical Patch Update - January 2006 / Appendix」は
   以下のURLから各Appendix への参照を作成しております。
     ( URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2006.html )
 - KROWN:92731 「Critical Patch Update」に関する一般的なFAQ 
 - KROWN:54775  データベースおよびアプリケーション・サーバーに関する不具合修正
                のポリシー
 - KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」

 - KROWN:110400 [CPUJan2006] Oracle Database パッチ適用前の注意事項
 - KROWN:110401 [CPUJan2006] Oracle Application Server パッチ適用前の注意事項
 - KROWN:110402 [CPUJan2006] Oracle Collaboration Suite パッチ適用前の注意事項
 - KROWN:110403 [CPUJan2006] Oracle E-Business Suite パッチ適用前の注意事項
 - KROWN:110404 [CPUJan2006] Oracle EM Grid Control パッチ適用前の注意事項
 - KROWN:108001  ワーム : Oracle Voyager Worm に関する概要

 - 「テクニカル・サポート・ポリシー」
    (URL:http://www.oracle.com/lang/jp/support/policies.html)

 - 「セキュリティアラート情報 」(サポート契約を締結されたお客様)
    (URL:http://www.oracle.com/technology/global/jp/security/index.html)


[謝辞]
  本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。

 - Raffaele Amendola
 - Cesar Cerrudo and Esteban Martinez Fayo of Application Security, Inc.
 - Joxean Koret
 - Alexander Kornbrust of Red Database Security GmbH
 - David Litchfield of Next Generation Security Software Ltd.
 - Srinivas Nookala of Cenzic, Inc.
 - Steve Orrin formally of Watchfire, Inc.
 - Amichai Shulman of Imperva, Inc.


[原典]
  本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。

 - MetaLink Document ID 343382.1
  「Oracle Critical Patch Update - January 2006」 
   2006年1月17日 Initial release, version 1 
   
  (訳注)
  本文書内で使用される用語につきましては、弊社ホームページの「テクニカル・サポー
ト・ポリシー」のページをご確認ください。(http://www.oracle.com/lang/jp/support/policies.html)

  本文書内で使用いたします以下の用語が説明されております。
  - サポート・サービス・レベル
  - フル・サポート(ECS:Error Correction Support)
  - アシスタンス・サポート(ES:Extended Support)
  - 延長メンテナンス・サポート(EMS:Extended Maintenance Support)

  本文書内では特に明記されない限りつぎの解釈となります。
  - 単独で「サポート」と表記される場合は、上記「フル・サポート」を意味します。
  - 「サポート期間」と表記される場合は、上記「フル・サポート」が有効な期間を
     意味します。
  - 延長メンテナンス・サポート契約をご締結のお客様は、ご契約対象の弊社製品・リ
    リースにつきまして上記「フル・サポート」に準じます。この場合も含んで単に
    「サポート期間」と記述されていることがあります。


[更新履歴]
2008/05/12 日本オラクルホームページURLを変更
2006/04/28 [Oracle Databaseのクライアント製品のみをインストールした場合] を修正
2006/01/30 誤字を訂正
2006/01/20 本文書を公開