文書番号 120256 最終更新日 2008-05-16 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition (ALL - ALL) [Patch Set Release(PSR)、個別パッチ適用]
Application Server 全般(インストール,PSR等) (ALL - ALL) [iAS Installation]
Oracle Collaboration Suite ( - ) [Installation]
Oracle Enterprise Manager ( - ) [Oracle Enterprise Manager]
Application Install ( - ) [Applications Install]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 120258   120259   120257   120261   120262   120260  
概要 [CPUApr2006] Critical Patch Update - April 2006
内容:
[CPUApr2006] Critical Patch Update - April 2006


[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。


[影響を受けるサポート対象製品及びコンポーネント]
  本 Critical Patch Update で示されるセキュリティの脆弱性は、以下のカテゴリーに
記載された製品へ影響を及ぼします。

カテゴリー1:
フル・サポートまたは延長メンテナンス・サポート対象の製品とバージョン

 - Oracle Database 10g Release 2, versions 10.2.0.1, 10.2.0.2     [ KROWN:120257 ] 
 - Oracle Database 10g Release 1, versions 10.1.0.4, 10.1.0.5     [ KROWN:120257 ] 
 - Oracle9i Database Release 2, versions 9.2.0.6, 9.2.0.7         [ KROWN:120257 ] 
 - Oracle8i Database Release 3, version 8.1.7.4                   [ KROWN:120257 ] 
 - Oracle Enterprise Manager 10g Grid Control, versions 10.1.0.3, 10.1.0.4, 
                                                     10.2.0.1     [ KROWN:120261 ]  
 - Oracle Application Server 10g Release 2, versions 10.1.2.0.0 - 10.1.2.0.2, 
                                       10.1.2.1.0, 10.1.3.0.0     [ KROWN:120258 ] 
 - Oracle Application Server 10g Release 1 (9.0.4), 
                                    versions 9.0.4.1, 9.0.4.2     [ KROWN:120258 ] 
 - Oracle Collaboration Suite 10g Release 1, versions 10.1.1, 10.1.2.0, 
                                                        10.1.2.1  [ KROWN:120259 ]  
 - Oracle9i Collaboration Suite Release 2, version 9.0.4.2        [ KROWN:120259 ]  
 - Oracle E-Business Suite Release 11i, versions 11.5.1 - 11.5.10 CU2  [ KROWN:120260 ]  
 - Oracle E-Business Suite Release 11.0     [ KROWN:120260 ]  
 - Oracle Pharmaceutical Applications versions 4.5.0 - 4.5.2     [ KROWN:120262 ]  

カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネント

 - Oracle Database 10g Release 1, version 10.1.0.4.2     [ KROWN:120258 ]  
 - Oracle Developer Suite, versions 6i, 9.0.4.2     [ KROWN:120258 ] [ KROWN:120260 ]  
 - Oracle Workflow, versions 11.5.1 through 11.5.9.5     [ KROWN:120260 ]  

カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品

 - Oracle9i Database Release 1, versions 9.0.1.4                   [ KROWN:120259 ]  
 - Oracle9i Database Release 1, versions 9.0.1.5, 9.0.1.5 FIPS     [ KROWN:120258 ] 
 - Oracle8 Database Release 8.0.6, version 8.0.6.3     [ KROWN:120258 ] and [ KROWN:120260 ] 
 - Oracle9i Application Server Release 1, version 1.0.2.2          [ KROWN:120260 ]  

カテゴリー4:
特定のプラットフォームにおいてのみサポートされる製品
詳細については、各々の製品に関するKROWNを確認してください。

 - Oracle Database 10g Release 1, version 10.1.0.3                 [ KROWN:120257 ] 
 - Oracle9i Database Release 2, version 9.2.0.5                    [ KROWN:120257 ] 


[フル・サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch 
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
データベースおよびアプリケーション・サーバーに関する不具合修正のポリシー 
(KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。しかしながら、影響
を受けるリリースより初期のパッチセット・レベルでは、これらの脆弱性の影響を受ける
可能性があります。


[デフォルトのアカウントとパスワードを確認するためのユーティリティ]
  2006年1月のCritical Patch Update にて公表いたしました「password checking utility」は、
大幅に改良し、名前も改めました。
Oracle Default Password Scanner (このユーティリティの名称です)は、デフォルトの
パスワードを使用するオラクルが提供するデフォルトのデータベースのスキーマ・アカウントを
セキュアにするために、利用者を支援します。
「Frequently Asked Questions about Oracle Default Password Scanner」 (MetaLink Note 361482.1)
と称されるノートには、このユーティリティの詳細な情報を提供します。 また、このユーティ
リティとその添付の文書(Oracle Default Password Scanner ユーザーズ・ガイド)をダウン
ロードするための手順を含みます。
  Oracle Default Password Scanner は、セキュリティ・チェックリストで記述される基本セ
キュリティ・ガイドラインの代用となるものではありません。更には、データベースやアプリ
ケーションのアカウントを適切に保全することの重要性に変わりはありません。
Oracle E-Business Suite をご利用の場合は、Metalink Note:189367.1 「Best Practices for 
Securing the E-Business Suite」に記載されているガイドラインも併せてご参照ください。
Note: 189367.1につきましては、弊社Oracle Apps Net Japan(http://www.oracle.co.jp/appsnet/)内
テクノロジ-->運用カテゴリにて「EBSセキュリティ強化に向けて」として翻訳版をご案内して
おります。カスタマイズされたアプリケーションを利用されているまたはオラクル・データ
ベースに依存する他社製品を利用されている場合は、これらの製品を利用している環境へ、
これらの変更を反映させる前に、各々の製品のための固有の文書を必ず確認してください。



[Oracle Databaseのクライアント製品のみをインストールした場合]
  本Critical Patch Update で示される新たなデータベースの脆弱性は、Oracle Database
のクライアント製品のみがインストールされた環境(データベースがインストールされてい
ない環境)へは影響しません。
クライアント製品のみがインストールされた環境へ、すでに以前のCritical Patch Update
が適用されている、またはSecurity Alert #68 のパッチが適用されている場合、本パッチ
を適用する必要はありません。
中間層のクライアント側のソフトウェアは一般的な中間層のパッチの一部としてパッチが
適用されます、従って、利用者は補足のパッチを適用する必要はありません。
これに該当しない場合は、該当製品の「パッチ適用前の注意事項」KROWNへ記述されます。


[パッチとリスク・マトリクス]
  Critical Patch Update では、Oracle Database Server, Enterprise Manager, Oracle 
Application Server 及び Oracle Collaboration Suite に関するパッチは累積的なもの
です。各々の継続的なCritical Patch Updateは、以前のCritical Patch Updateのすべ
ての修正を含みます。以前のCritical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。

 ・セキュリティアラート情報 
    http://www.oracle.com/technology/global/jp/security/index.html

  E-Business Suite のパッチは累積的ではありませんので、E-Business Suiteのユーザー
は、自らが適用することを望む以前の修正を確認するために、以前のCritical Patch Update
を照会しなければなりません。

  運用中の各々のオラクル製品について、Pre-Installation(製品毎にKROWNとして公開)
からパッチ情報及びインストール手順を確認してください。
Critical Patch Update に関連した文書(KROWN)は OiSC (OiSC:Oracle internet 
Support Center) の次のサイトに集約されます。

 - Critical Patch Update - April 2006
   (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2006.html) (2006年4月21日公開)


  [Oracle Database Server]
   - Oracle Database Server に関する脆弱性の深刻度を判断するために次のリスク・マ
     トリクスを確認します。
     ・「Critical Patch Update - April 2006 / Appendix A」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#Appendix A)
        Appendix A
        Oracle Database Server Risk Matrix 
        Critical Patch Update - April 2006
   - CPUApr2006 のパッチ を Oracle Database Server へ適用される場合は、事前に 
     KROWN:120257 を確認します。
     ・KROWN:120257 [CPUApr2006] Oracle Database パッチ適用前の注意事項


  [Oracle Enterprise Manager ]
   - Oracle Enterprise Manager に関する脆弱性の深刻度を判断するため
     に次のリスク・マトリクスを確認します。
     ・「Critical Patch Update - April 2006 / Appendix E」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#Appendix E)
         Appendix E
         Oracle Enterprise Manager  Risk Matrix
         Critical Patch Update - April 2006
   - CPUApr2006 のパッチ を Oracle Enterprise Manager Grid Control へ適用する場合は、
     事前に KROWN:120261 を確認します。
     ・KROWN:120261 [CPUApr2006] Oracle EM Grid Control パッチ適用前の注意事項


  [Oracle Application Server]
   - Oracle Application Server に関する脆弱性の深刻度を判断するために次のリスク・
     マトリクスを確認します。
     ・「Critical Patch Update - April 2006 / Appendix B」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#Appendix B)
         Appendix B
         Oracle Application Server Risk Matrix
         Critical Patch Update - April 2006
   - CPUApr2006 のパッチ を Oracle Application Server へ適用される場合は、事前に
     KROWN:120258 を確認します。
     ・KROWN:120258 [CPUApr2006] Oracle Application Server パッチ適用前の注意事項


  [Oracle Collaboration Suite]
   - Oracle Collaboration Suite に関する脆弱性の深刻度を判断するために次のリスク・
     マトリクスを確認します。
     ・「Critical Patch Update - April 2006 / Appendix C」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#Appendix C)
         Appendix C
         Oracle Collaboration Suite Risk Matrix
         Critical Patch Update - April 2006
   - CPUApr2006 のパッチ を Oracle Collaboration Suite へ適用する場合は、事前に
     KROWN:120259 を確認します。 
     ・KROWN:120259 [CPUApr2006] Oracle Collaboration Suite パッチ適用前の注意事項


  [Oracle E-Business and Applications]
   - Oracle E-Business and Applications に関する脆弱性の深刻度を判断するために次
     のリスク・マトリクスを確認します。
     ・「Critical Patch Update - April 2006 / Appendix D」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#Appendix D)
        Appendix D
        Oracle E-Business Suite Risk Matrix
        Critical Patch Update - April 2006
   - CPUApr2006 のパッチ を Oracle E-Business and Applications へ適用される場合は、
     事前に KROWN:120260 を確認します。
     ・KROWN:120260 [CPUApr2006] Oracle E-Business Suite パッチ適用前の注意事項


  [Oracle Pharmaceutical Applications]
   - Oracle Pharmaceutical Applications に関する脆弱性の深刻度を判断するために次
     のリスク・マトリクスを確認します。
     ・「Critical Patch Update - April 2006 / Appendix D」
        (URL:http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#Appendix D)
        Appendix D
        Oracle E-Business Suite Risk Matrix
        Critical Patch Update - April 2006
   - CPUApr2006 のパッチ を Oracle Pharmaceutical Applications へ適用される場合は、
     事前に KROWN:120262 を確認します。
     ・KROWN:120262 [CPUApr2006] Oracle Pharmaceutical Applications パッチ適用前の注意事項


 [リスク・マトリクス]
   このリスク・マトリクスでは、このアドバイザリー(CPUApr2006)で示される新たな
 脆弱性だけをリストします。以前のCritical Patch Update に対するリスク・マトリクスは、
 OiSC内の「製品ライフサイクル」-「セキュリティアラート」から確認いただけます。
 
 ・セキュリティアラート情報 
    http://www.oracle.com/technology/global/jp/security/index.html


 [1つの脆弱性が複数のリスク・マトリクスで報告された場合]
   本Critical Patch Update で報告されたいくつかの脆弱性は、Database Server と
 Application Server 製品の双方で報告されています。リスク・マトリクスでは、双方
 のリスク・マトリクスから同じ Vuln # を指定することでその脆弱性が共通であること
 を示します。


 [リスク・マトリクスの定義]
   リスク・マトリクスで使用される用語は、KROWN:94992 を参照ください。
   ・KROWN:94992 [CPU] Risk Matrix(リスク・マトリクス)用語解説


 [リスク分析と複合的な攻撃について]
   オラクルは脆弱性の危険性とその影響度について、各々の潜在的な脆弱性について
 別々に分析しました。オラクルは可能性や複合的な攻撃に対してはその分析を行いま
 せん。例えば、一回の攻撃においてそれらが組み合わされた場合などが該当します。


 [Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
 報の方針声明]
   オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
 アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
 セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、 
 関連するドキュメントへ記載されます。
 たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用された
 場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環境に
 応じたリスク分析を実施することができます。
   オラクルの方針として、CPUまたはセキュリティ・アラート、パッチ適用前の注意事項、
 READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性の詳細に関する付加
 的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたはセキュリティ・ア
 ラート等の事前の通知、または「インサイダー情報」を提供いたしません。
 また、オラクルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の
 開発・提供も行っておりません。


[フル・サポート期間が終了した製品バージョンへのCritical Patch Updateの有効性]
  ライフタイム・サポート・ポリシーが実装される以前の延長メンテナンス・サポート
(EMS)を取得されているお客様へ Critical Patch Updates は有効です。
OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、
延長メンテナンス・サポート(EMS)が特定のリリースとプラットホーム(EMSが利用できる
特定の期間だけでなく)に利用できるかどうかを確認いただけます。
  ライフタイム・サポート・ポリシーが実装される以前のアシスタンス・サポート(ES)
製品のための有効なライセンスを持つお客様は、既存の修正モジュールを入手する権利が
あります。しかし、パッチの使用に起因して発生する新たな問題は、アシスタンス・サ
ポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視
野に入れた、パッチ適用計画を立案していただく必要があります。

  オラクルは延長メンテナンス・サポート(EMS)またはライフタイム・サポート・ポリシー
の対象とならない製品バージョンへは Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。

アシスタンス・サポート(ES)と延長メンテナンス・サポート(EMS)に関するより詳細な情報
を確認するために、テクニカル・サポート・ポリシーに記載の「アシスタンス・サポート
ES:Extended Supportt」のセクションを確認してください。


[参照情報]
 -「Critical Patch Update - April 2006 / Appendix」
   本KROWN内で引用されたこの「Critical Patch Update - April 2006 / Appendix」は
   以下のURLから各Appendix への参照を作成しております。
     ( URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2006.html )
 - KROWN:92731 「Critical Patch Update」に関する一般的なFAQ 
 - KROWN:54775  データベースおよびアプリケーション・サーバーに関する不具合修正
                のポリシー
 - KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」

 - 「テクニカル・サポート・ポリシー」
    (URL:http://www.oracle.com/lang/jp/support/policies.html)

 - 「セキュリティアラート情報 」
    (URL:http://www.oracle.com/technology/global/jp/security/index.html)


[謝辞]
  本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。
 - Esteban Martinez Fayo of Application Security, Inc.
 - Alexander Kornbrust of Red Database Security GmbH
 - David Litchfield of Next Generation Security Software Ltd.
 - noderat ratty 


[原典]
  本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。

 - MetaLink Document ID 360044.1
  「Oracle Critical Patch Update April 2006 Advisory」 
   2006年4月18日 Initial release
   
  (訳注)
  本文書内で使用される用語につきましては、弊社ホームページの「テクニカル・サポー
ト・ポリシー」のページをご確認ください。(http://www.oracle.com/lang/jp/support/policies.html)

  本文書内で使用いたします以下の用語が説明されております。
  - サポート・サービス・レベル
  - フル・サポート(ECS:Error Correction Support)
  - アシスタンス・サポート(ES:Extended Support)
  - 延長メンテナンス・サポート(EMS:Extended Maintenance Support)

  本文書内では特に明記されない限りつぎの解釈となります。
  - 単独で「サポート」と表記される場合は、上記「フル・サポート」を意味します。
  - 「サポート期間」と表記される場合は、上記「フル・サポート」が有効な期間を
     意味します。
  - 延長メンテナンス・サポート契約をご締結のお客様は、ご契約対象の弊社製品・リ
    リースにつきまして上記「フル・サポート」に準じます。この場合も含んで単に
    「サポート期間」と記述されていることがあります。



[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の15日に最も近い火曜日
にリリースされます。以後4回のCPUの予定です(米国 MetaLink への公開)。
 - 18 July 2006 
 - 17 October 2006 
 - 16 January 2007 
 - 17 April 2007 


[更新履歴]
2008/05/12 日本オラクルホームページURLを変更
2006/04/21 本文書を公開