文書番号 121268 最終更新日 2008-03-06 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition ( - ) [Patch Set Release(PSR)、個別パッチ適用]
Oracle Collaboration Suite ( - ) [Installation]
Application Server 全般(インストール,PSR等) (ALL - ALL) [iAS Installation]
Oracle Enterprise Manager ( - ) [Oracle Enterprise Manager]
Application Install ( - ) [Applications Install]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 94992   121281   54775  
概要 [CPUJul2006] Critical Patch Update - July 2006
内容:
[CPUJul2006] Critical Patch Update - July 2006

[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。

カテゴリー1:
Error Correction Support (ECS) または Extended Maintenance Support (EMS)対象の製品と
バージョン

 - Oracle Database 10g Release 2, versions 10.2.0.1, 10.2.0.2     [ Database ] 
 - Oracle Database 10g Release 1, versions 10.1.0.4, 10.1.0.5     [ Database ] 
 - Oracle9i Database Release 2, versions 9.2.0.6, 9.2.0.7     [ Database ] 
 - Oracle8i Database Release 3, version 8.1.7.4     [ Database ] 
 - Oracle Enterprise Manager 10g Grid Control, version 10.2.0.1     [ Enterprise Manager ]  
 - Oracle Application Server 10g Release 3, versions 10.1.3.0.0     [ Application Server ] 
 - Oracle Application Server 10g Release 2, versions 10.1.2.0.0 - 10.1.2.0.2, 10.1.2.1.0 [ Application Server ] 
 - Oracle Application Server 10g Release 1 (9.0.4), versions 9.0.4.2, 9.0.4.3     [ Application Server ] 
 - Oracle Collaboration Suite 10g Release 1, version 10.1.2.0     [ Collaboration Suite ]  
 - Oracle9i Collaboration Suite Release 2, version 9.0.4.2     [ Collaboration Suite ]  
 - Oracle E-Business Suite Release 11i, versions 11.5.7 - 11.5.10 CU2     [ E-Business Suite ]  
 - Oracle E-Business Suite Release 11.0     [ E-Business Suite ]  
 - Oracle Pharmaceutical Applications versions 4.5.0 - 4.5.2     [ Pharmaceutical ]  


カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネント

 - Oracle Database 10g Release 1, version 10.1.0.4.2     [ Application Server ]  
 - Oracle Application Server Portal, versions 10.1.4.0.0     [ Application Server ] 
 - Oracle Developer Suite, versions 6i, 9.0.4.2     [ Developer Suite ] 及び [ E-Business Suite ]  
 - Oracle Workflow, versions 11.5.1 - 11.5.9.5     [ E-Business Suite ]  


カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品

 - Oracle9i Database Release 1, versions 9.0.1.4      [ Collaboration Suite ]  
 - Oracle9i Database Release 1, versions 9.0.1.5, 9.0.1.5 FIPS     [ Application Server ] 
 - Oracle8 Database Release 8.0.6, version 8.0.6.3     [ Application Server ] 及び [ E-Business Suite ] 
 - Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1     [ Collaboration Suite ]  
 - Oracle9i Application Server Release 1, version 1.0.2.2     [ E-Business Suite ]  

カテゴリー3製品用のパッチは、これらの製品がカテゴリー1の製品の一部としてインストールされて
サポートされた構成と環境で単体で検証されました。パッチの有効性に関する特定の事項については
各々の製品に関する文書を参照してください。


カテゴリー4:
特定のプラットフォームにおいてのみサポートされる製品
詳細については、CPUJul2006 のサイト(URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2006.html)
を確認ください。


[サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch 
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
データベースおよびアプリケーション・サーバーに関する不具合修正のポリシー 
(KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。しかしながら、影響
を受けるリリースより初期のパッチセット・レベルでは、これらの脆弱性の影響を受ける
可能性があります。


[Oracle Databaseのクライアント製品のみをインストールした場合]
  本Critical Patch Update では、Oracle Databaseのクライアント製品のみがインストール
された環境(データベースがインストールされていない環境)へ影響する4つの新たな脆弱性が示され
ています。これらの3つの脆弱性のために、クライアントがサーバーへ接続した際に、信頼できない
または悪意のあるサーバーによって、クライアントを終了させることができます。
4番目の脆弱性は信頼できない、悪意があるサーバーがクライアントを終わらせることを可能します。
更に、クライアントの上に任意のコードの実行を許す可能性があります。
  クライアントが、直接、悪意があるサーバーに接続することによって、あるいはデータベース
リンクを通してこれらの4つの脆弱性に晒される可能性があります。
  中間層のクライアント・サイドのソフトウェアは、一般的な中間層のパッチの一部として
パッチ適用を行うことが可能でき、顧客は補足的にパッチを適用する必要はありません。
もしこれらのケースに該当しない場合は、適切な補足のドキュメントとして文書化されます。


[パッチとリスク・マトリクス]
  Critical Patch Update では、Oracle Database Server, Enterprise Manager, Oracle 
Application Server 及び Oracle Collaboration Suite に関するパッチは累積的なもの
です。各々の継続的なCritical Patch Updateは、以前のCritical Patch Updateのすべ
ての修正を含みます。
  E-Business Suite のパッチは累積的ではありませんので、E-Business Suiteのユーザー
は、自らが適用することを望む以前の修正を確認するために、以前のCritical Patch Update
を照会しなければなりません。
  以前のCritical Patch Update に対するリスク・マトリクスは、以下のURLから参照いただけます。

 ・セキュリティアラート情報 
    URL:http://support.oracle.co.jp/support/owa/mlj.m?p=160:4



各製品に関するリスク・マトリクスに関しましては、記載のURLから参照ください。
また、各製品に関するパッチの提供状況に関しましては、OiSC(記載のURL)から確認ください。

- Oracle Database
  Appendix A - Oracle Database Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html#Appendix A)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2006.html#DBAVAIL)

- Oracle Application Server 
  Appendix B - Oracle Application Server Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html#Appendix B)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2006.html#ASMIDTIER)

- Oracle Collaboration Suite
  Appendix C - Oracle Collaboration Suite Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html#Appendix C)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2006.html#OCSAVAIL)

- Oracle E-Business Suite and Applications
  Appendix D - Oracle E-Business Suite and Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html#Appendix D)
  パッチリリース状況
  KROWN:121264

- Oracle Pharmaceutical Applications
  Appendix D - Oracle E-Business Suite and Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html#Appendix D)
  パッチリリース状況
  KROWN:121284

- Oracle Enterprise Manager
  Appendix E - Enterprise Manager Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html#Appendix E)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJul2006.html#OEMAVAIL)


  [リスク・マトリクス]
    このリスク・マトリクスでは、このアドバイザリー(CPUApr2006)で示される新たな
  脆弱性だけをリストします。以前のCritical Patch Update に対するリスク・マトリクスは、
  OiSC内の「製品ライフサイクル」-「アラート」から確認いただけます。
 
 ・セキュリティアラート情報 
    (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)


  [1つの脆弱性が複数のリスク・マトリクスで報告された場合]
    本Critical Patch Update で報告されたいくつかの脆弱性は、Database Server と
  Application Server 製品の双方で報告されています。リスク・マトリクスでは、双方
  のリスク・マトリクスから同じ Vuln # を指定することでその脆弱性が共通であること
  を示します。


  [リスク・マトリクスの定義]
    リスク・マトリクスで使用される用語は、KROWN:94992 を参照ください。
    ・KROWN:94992 [CPU] Risk Matrix(リスク・マトリクス)用語解説


  [リスク分析と複合的な攻撃について]
    オラクルは脆弱性の危険性とその影響度について、各々の潜在的な脆弱性について
  別々に分析しました。オラクルは可能性や複合的な攻撃に対してはその分析を行いま
  せん。例えば、一回の攻撃においてそれらが組み合わされた場合などが該当します。


[Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
報の方針声明]
  オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、 
関連するドキュメントへ記載されます。
たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用された
場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環境に
応じたリスク分析を実施することができます。
  オラクルの方針として、CPUまたはセキュリティ・アラート、Critical Patch Update 
パッチリリース状況、READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性
の詳細に関する付加的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたは
セキュリティ・ア ラート等の事前の通知、または「インサイダー情報」を提供いたしません。
また、オラクルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の
開発・提供も行っておりません。


[フル・サポート期間が終了した製品バージョンへのCritical Patch Updateの有効性]
  ライフタイム・サポート・ポリシーが実装される以前のExtended Maintenance Support
(EMS)を取得されているお客様へ Critical Patch Updates は有効です。
OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、
Extended Maintenance Support (EMS)が特定のリリースとプラットホーム(EMSが利用できる
特定の期間だけでなく)に利用できるかどうかを確認いただけます。
  ライフタイム・サポート・ポリシーが実装される以前のExtended Support (ES)製品の
ための有効なライセンスを持つお客様は、既存の修正モジュールを入手する権利があります。
しかし、パッチの使用に起因して発生する新たな問題は、Extended Support (ES)では対処
されません。したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消す
ことも視野に入れた、パッチ適用計画を立案していただく必要があります。

  オラクルはExtended Maintenance Support (EMS)またはライフタイム・サポート・ポリ
シーの対象とならない製品バージョンへは Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。

Extended Support (ES)とExtended Maintenance Support (EMS)に関するより詳細な情報
を確認するために、テクニカル・サポート・ポリシーに記載の「アシスタンス・サポート
ES:Extended Supportt」のセクションを確認してください。


[参照情報]
 - KROWN:121281 Security Alerts 及び Critical Patch Update に関するFAQ 
 - KROWN:54775  データベースおよびアプリケーション・サーバーに関する不具合修正
                のポリシー
 - KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」

 - 「テクニカル・サポート・ポリシー」
    (URL:http://www.oracle.com/lang/jp/support/policies.html)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. http://www.oracle.com/lang/jp/index.html のトップ・ページを開く
    2. 上段にある「サポート」のアンカーをクリック 
       (Oracle Japan / Oracle Support Servicesのページが開きます)
    3. 「Oracle Support Services」のページの左にあるリストから「テクニカル・
        サポート・ポリシー」のアンカーをクリック

 - 「セキュリティアラート情報 」(サポート契約を締結されたお客様)
    (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. OiSC(Oracle Internet Support Center)へログイン
    2. ページ右上の「製品ライフサイクル」を選択
    3. ページ・メニュー「アラート」を選択


[謝辞]
  本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。(敬称略)

- Esteban Martinez Fayo of Application Security, Inc.
- Dr. Christian Kleinewaechter and Swen Thuemmler of infinity3 GmbH
- Alexander Kornbrust of Red Database Security GmbH
- David Litchfield of Next Generation Security Software Ltd.


[原典]
  本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。

 - MetaLink Document ID 372927.1
  「Oracle Critical Patch Update July 2006 Advisory」 
   2006年7月18日 Initial release


[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の15日に最も近い火曜日
にリリースされます。以後4回のCPUの予定です(米国 MetaLink への公開)。
 - 2006年10月17日
 - 2007年1月16日
 - 2007年4月17日
 - 2007年7月17日 


[更新履歴]
2008/03/06 日本オラクルホームページURLを変更
2006/07/31 Oracle Enterprise Manager のパッチを公開
2006/07/26 Oracle Collaboration Suite のパッチを公開
           Oracle Pharmaceutical Applications のパッチを公開
2006/07/21 本文書を公開