文書番号 122147 最終更新日 2008-03-06 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition ( - ) [Patch Set Release(PSR)、個別パッチ適用]
Oracle Collaboration Suite ( - ) [Installation]
Application Server 全般(インストール,PSR等) ( - ) [iAS Installation]
Oracle Enterprise Manager ( - ) [Oracle Enterprise Manager]
Application Install ( - ) [Applications Install]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 121281   122165   122163   54775  
概要 [CPUOct2006] Critical Patch Update - October 2006
内容:
[CPUOct2006] Critical Patch Update - October  2006

[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。本 Critical Patch Update では、全ての製品を通じて
101の新たな修正が含まれています。

[影響を受けるサポート対象製品及びコンポーネント]
  本 Critical Patch Update で示されるセキュリティの脆弱性は、カテゴリー1、2及び
3のリストに記載された製品へ影響を及ぼします。


カテゴリー1:
ライフタイム・サポート・ポリシー(Oracle Lifetime Support policy)に基づく Premier Support 
または Extended Support、もしくは、以前の サポート・ポリシー(support policy )に基づく
Error Correction Support (ECS) または Extended Maintenance Support (EMS)対象の製品と
バージョン

 - Oracle Database 10g Release 2, versions 10.2.0.1, 10.2.0.2      [ Database ] 
 - Oracle Database 10g Release 1, versions 10.1.0.4, 10.1.0.5      [ Database ] 
 - Oracle9i Database Release 2, versions 9.2.0.6, 9.2.0.7, 9.2.0.8 [ Database ] 
 - Oracle8i Database Release 3, version 8.1.7.4                    [ Database ] 
 - Oracle Application Express (formerly called HTML DB), versions 1.5 - 2.0
                                   [ Application Express Download Page (OTN) ] 
 - Oracle Application Server 10g Release 3, version 10.1.3.0.0     [ Application Server ] 
 - Oracle Application Server 10g Release 2, versions 10.1.2.0.0 - 10.1.2.0.2, 10.1.2.1.0
                                                                   [ Application Server ] 
 - Oracle Application Server 10g Release 1 (9.0.4), versions 9.0.4.2, 9.0.4.3
                                                                   [ Application Server ] 
 - Oracle Collaboration Suite 10g Release 1, version 10.1.2.0      [ Collaboration Suite ] 
 - Oracle9i Collaboration Suite Release 2, version 9.0.4.2         [ Collaboration Suite ] 
 - Oracle E-Business Suite Release 11i, versions 11.5.7 - 11.5.10 CU2
                                                                   [ E-Business Suite ]  
 - Oracle E-Business Suite Release 11.0                            [ E-Business Suite ]  
 - Oracle Pharmaceutical Applications versions 4.5.0 - 4.5.1       [ Pharmaceutical Applications ]  
 - Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.46, 8.47, 8.48
                                                                   [ PeopleSoft/JDE ]  
 - Oracle PeopleSoft Enterprise Portal Solutions, Enterprise Portal, versions 8.8, 8.9
                                                                   [ PeopleSoft/JDE ]  
 - JD Edwards EnterpriseOne Tools versions 8.95, 8.96              [ PeopleSoft/JDE ]  
 - JD Edwards OneWorld Tools SP23                                  [ PeopleSoft/JDE ]  


カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネント

 - Oracle Developer Suite, versions 6i, 9.0.4.3, 10.1.2.0.2
                                           [ E-Business Suite ] 及び [ Developer Suite ]  


カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品

 - Oracle9i Database Release 1, version 9.0.1.4                      [ Collaboration Suite ]  
 - Oracle9i Database Release 1, versions 9.0.1.5, 9.0.1.5 FIPS       [ Application Server ] 
 - Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1  [ Collaboration Suite ]  
 - Oracle9i Application Server Release 1, version 1.0.2.2            [ E-Business Suite ]  

カテゴリー3製品用のパッチは、これらの製品がカテゴリー1の製品の一部としてインストールされた
場合のみ適用いただけます。また、これらのパッチは、サポートされた構成と環境でのみ検証されてお
ります。尚、パッチの有効性とリリース状況については、各々の製品に関する文書を参照してください。

カテゴリー4:
特定のプラットフォームにおいてのみサポートされる製品
詳細は添付のドキュメントを確認ください。

 - Oracle Database 10g Release 1, version 10.1.0.3                   [ Database ] 
 - Oracle9i Database Release 2, version 9.2.0.5                      [ Database ] 
 - Oracle Application Server 10g Release 1 (9.0.4), version 9.0.4.1  [ Application Server ] 


[October 2006 Critical Patch Update の新たな事項]
アドバイザリーの書式に対して、以下の改善を行いました。
 - 脆弱性を要約するために、リスク・マトリクスでは、Common Vulnerability Scoring System 
   (以後、CVSSと表記)を使用します。
   オラクルは、以前の Critical Patch Update のリスク・マトリクスとは、矛盾しない
   補足情報を提供し続けます。
 - 各々の製品には、本 Critical Patch Update で新たに修正された脆弱性のタイプや
   数の要約が含まれます。
 - クライアントへの適用の可能性についての情報は、サーバー以外のマシンに適用される
   必要があるパッチのリストが、製品毎にリストされます。


[パッチとリスク・マトリクス]
  Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, 
Oracle Collaboration Suite, JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, 
PeopleSoft Enterprise Portal Applications and PeopleSoft Enterprise PeopleTools 
に関するパッチは累積的なものです。各々の継続的なCritical Patch Updateは、
以前のCritical Patch Updateのすべての修正を含みます。

 E-Business Suite のパッチは累積的ではありません。よって、E-Business Suite のユーザーは、
適用を希望する修正を確認するために、過去の Critical Patch Update を確認する必要があります。

  以前のCritical Patch Update に対するリスク・マトリクスは、以下のURLから参照いただけます。

 ・セキュリティアラート情報 
    URL:http://support.oracle.co.jp/support/owa/mlj.m?p=160:4



各々のオラクル製品を管理するために、以下に記載のURLから、パッチの提供状況及び
適用手順を確認してください。



- Oracle Database
  Appendix A - Oracle Database Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixA)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUOct2006.html#DBAVAIL)

- Oracle Application Express (Formerly Called Oracle HTML DB)
  Appendix A - Oracle Application Express (Formerly Called Oracle HTML DB) Risk Matrix
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixA)
  パッチリリース状況(OTNより取得)
  (URL:http://www.oracle.com/technology/global/jp/software/products/htmldb/index.html)

- Oracle Application Server 
  Appendix B - Oracle Application Server Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixB)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUOct2006.html#ASMIDTIER)

- Oracle Collaboration Suite
  Appendix C - Oracle Collaboration Suite Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixC)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUOct2006.html#OCSAVAIL)

- Oracle E-Business Suite and Applications
  Appendix D - Oracle E-Business Suite and Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixD)
  パッチリリース状況
  KROWN:122128

- Oracle Pharmaceutical Applications
  Appendix D - Oracle E-Business Suite and Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixD)
  パッチリリース状況
  KROWN:122165

- Oracle Enterprise Manager
  Appendix E - Enterprise Manager Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixE)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUOct2006.html#OEMAVAIL)

- Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne
  Appendix F - Oracle PeopleSoft and JD Edwards Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html#AppendixF)
  パッチリリース状況
  (URL:http://technical.peoplesoft.co.jp/index_main.htm)


[リスク・マトリクス]
  このリスク・マトリクスでは、このアドバイザリー(CPUApr2006)で示される新たな
脆弱性だけをリストします。以前の Critical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「アラート」から確認いただけます。
 
 - セキュリティアラート情報 
   (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)

  本 Critical Patch Update で言及された幾つかの脆弱性は、 複数の製品へ影響を及ぼ
します。同一の脆弱性は、リスク・マトリクス内では、同じ Vuln # で表現されています。
イタリック体は、他の製品エリアから包含されるコードの脆弱性を示します。

  オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、 
関連するドキュメントへ記載されます、例えば、脆弱性のタイプ、脆弱性を利用するのに
必要となる条件と脆弱性が利用された場合の影響についてなどです。
オラクルは、お客様がご利用の製品や環境に応じたリスク分析を行えるように、これらの
情報を提供します。
  オラクルの方針として、CPUまたはセキュリティ・アラート、Critical Patch Update 
パッチリリース状況、READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性
の詳細な付加的情報を提供いたしません。オラクルは、CPU またはセキュリティ・アラート
に関して、個々の顧客へ事前の通知を行ないません。また、オラクルは製品の脆弱性に関連
する脆弱性実証コード(Proof-of-Concept code)の開発・提供も行っておりません。


[回避策]
  成功した攻撃によって提示された脅威のために、オラクルは、出来るだけ早く修正を
適用されることを強く推奨します。環境に依存して、攻撃によって必要とされるネット
ワーク・プロトコルを制限することによって、成功した攻撃の危険度を低減させる可能性
があります。
ある特定の権限、または、ある特定のパッケージへのアクセスを必要とする攻撃の為に、
権限または信頼できないユーザーからのパッケージへのアクセス権を解除することは、
成功した攻撃の危険度を低減させる可能性があります。
双方のアプローチは、アプリケーションの機能性を損なう可能性があります、そのため、
オラクルは、これらの変更を非プロダクション・システム(本番環境ではなく)でテスト
されることを強く推奨します。
いずれも根本的に問題を修正することはありません、したがって、いずれのアプローチ
も長期の解決策として判断されるべきではありません。


[サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch 
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
しかしながら、影響を受けるリリースより初期のパッチセット・レベルでは、これらの
脆弱性の影響を受ける可能性があります。
  サポート対象の製品は、KROWN:121281 で要約された Critical Patch Update ポリシー
に従って、パッチを適用できます。

 ライフタイム・サポート・ポリシーが実装される以前の Extended Maintenance Support
(EMS)製品のための有効なライセンスを持つお客様へ、Critical Patch Update のパッチは
有効です。OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、
Extended Maintenance Support (EMS)が特定のリリースとプラットホーム(EMSが利用できる
特定の期間だけでなく)に利用できるかどうかを確認いただけます。

  ライフタイム・サポート・ポリシーが実装される以前のExtended Support(ES) 
製品のための有効なライセンスを持つお客様は、既存の修正モジュールを入手する権利が
あります。しかし、パッチの使用に起因して発生する新たな問題は、アシスタンス・サ
ポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視
野に入れた、パッチ適用計画を立案していただく必要があります。

  オラクルは、Extended Maintenance Support (EMS)またはライフタイム・サポート・ポリ
シーの対象とならない製品バージョンへは Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。

Extended Support (ES)とExtended Maintenance Support (EMS)に関するより詳細な情報
を確認するために、テクニカル・サポート・ポリシーに記載の「アシスタンス・サポート
ES:Extended Supportt」のセクションを確認してください。


[参照情報]
 - KROWN:121281 Security Alerts 及び Critical Patch Update に関するFAQ 
 - KROWN:54775  データベースおよびアプリケーション・サーバーに関する不具合修正
                のポリシー
 - KROWN:122163 Risk Matrix(リスク・マトリクス)用語解説

 - 「テクニカル・サポート・ポリシー」
    (URL:http://www.oracle.com/lang/jp/support/policies.html)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. http://www.oracle.com/lang/jp/index.html のトップ・ページを開く
    2. 上段にある「サポート」のアンカーをクリック 
       (Oracle Japan / Oracle Support Servicesのページが開きます)
    3. 「Oracle Support Services」のページの左にあるリストから「テクニカル・
        サポート・ポリシー」のアンカーをクリック

 - 「セキュリティアラート情報 」(サポート契約を締結されたお客様)
    (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. OiSC(Oracle Internet Support Center)へログイン
    2. ページ右上の「製品ライフサイクル」を選択
    3. ページ・メニュー「アラート」を選択


[謝辞]
  本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。(敬称略)

Johannes Fahrenkrug
Sacha Faust of S.P.I. Dynamics, Inc.
Esteban Martinez Fayo of Application Security, Inc.
Jeff Kayser of Database Doctor, Inc.
Alexander Kornbrust of Red Database Security GmbH
David Litchfield of Next Generation Security Software Ltd.
Andrew Maksimenko of COMEC-92.


[原典]
  本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。

 - MetaLink Document ID 391558.1
  「Oracle Critical Patch Update October 2006 Advisory」 
   2006年10月17日 Initial release


[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の15日に最も近い火曜日
にリリースされます。以後4回のCPUの予定です(米国 MetaLink への公開)。
 - 2007年1月16日
 - 2007年4月17日
 - 2007年7月17日 
 - 2007年10月16日


[更新履歴]
2008/03/06 日本オラクルホームページURLを変更
2006/11/02 カテゴリー2の情報を更新
           パッチとリスク・マトリクスへOracle Application Express関連情報を追記
           謝辞の情報を更新
2006/10/20 本文書を公開