文書番号 124318 最終更新日 2008-03-05 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] Application Server 全般(インストール,PSR等) ( - ) []
Oracle Server - Enterprise Edition ( - ) []
Oracle Enterprise Manager ( - ) []
Oracle Secure Enterprise Search ( - ) []
Application Install ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 54775   121281   124277   122163  
概要 [CPUApr2007] Critical Patch Update - April 2007
内容:
[CPUApr2007] Critical Patch Update - April 2007


[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。本 Critical Patch Update では、全ての製品を通じて
36の新たな修正が含まれています。


[影響を受けるサポート対象製品及びコンポーネント]
  本 Critical Patch Update で示されるセキュリティの脆弱性は、下記のカテゴリーに
記載された製品へ影響を及ぼします。


カテゴリー1:
ライフタイム・サポート・ポリシー(Oracle Lifetime Support policy)に基づく Premier Support 
または Extended Support、もしくは、以前の サポート・ポリシー(support policy )に基づく
フル・サポート (Error Correction Support (ECS)) または 延長メンテナンス・サポート 
(Extended Maintenance Support (EMS)) 対象の製品とバージョン

 - Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3               [ Database ]
 - Oracle Database 10g Release 1, versions 10.1.0.4, 10.1.0.5               [ Database ]
 - Oracle9i Database Release 2, versions 9.2.0.7, 9.2.0.8                   [ Database ]
 - Oracle Secure Enterprise Search 10g Release 1, version 10.1.6            [ Secure Enterprise Search (OTN) ]
 - Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0
                                                                            [ Application Server ]
 - Oracle Application Server 10g Release 2, versions 10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
                                                                            [ Application Server ]
 - Oracle Application Server 10g (9.0.4), version 9.0.4.3                   [ Application Server ]
 - Oracle10g Collaboration Suite Release 1, version 10.1.2                  [ Collaboration Suite ]
 - Oracle E-Business Suite Release 11i, versions 11.5.7 - 11.5.10 CU2       [ E-Business Suite ]
 - Oracle E-Business Suite Release 12, version 12.0.0                       [ E-Business Suite ]
 - Oracle Enterprise Manager 9i Release 2, versions 9.2.0.7, 9.2.0.8        [ Enterprise Manager ]
 - Oracle Enterprise Manager 9i, version 9.0.1.5                            [ Enterprise Manager ]
 - Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.47, 8.48       [ PeopleSoft/JDE ]
 - Oracle PeopleSoft Enterprise Human Capital Management version 8.9        [ PeopleSoft/JDE ]
 - JD Edwards EnterpriseOne Tools version 8.96                              [ PeopleSoft/JDE ]
 - JD Edwards OneWorld Tools SP23                                           [ PeopleSoft/JDE ]


カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネントには、
本 Critical Patch Update に含まれる修正による影響を受けるものはありません。


カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品

 - Oracle9i Database Release 1, versions 9.0.1.5, 9.0.1.5 FIPS              [ Application Server ]

カテゴリー3製品向けのパッチは、これらの製品がカテゴリー1の製品の一部としてインストールされた
場合にのみ適用いただけます。また、それらのパッチは、サポートされた構成と環境でのみ検証されてお
ります。なお、パッチの有効性とリリース状況については、各々の製品に関する文書を参照してください。


カテゴリー4:
特定のプラットフォームにおいてのみサポートされる製品
詳細は添付のドキュメントを確認ください。

 - Oracle9i Database Release 2, versions 9.2.0.5                            [ Database ]
 - Oracle Database 10g Release 2, version 10.2.0.1                          [ Database ]


[パッチのリリース状況とリスク・マトリクス]
  Oracle Database、Oracle Application Server、Oracle Enterprise Manager Grid Control、
Oracle Collaboration Suite、Oracle E-Business Suite Applications (Release 12 のみ)、
JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise Portal Applications、
および PeopleSoft Enterprise PeopleTools に関するパッチは累積的なものです。各々の 
Critical Patch Update は、これまでの Critical Patch Update に含まれる修正をすべて含みます。

  E-Business Suite Release 11i のパッチは累積的ではありません。よって、E-Business Suite を
ご利用お客様は、適用を希望する修正を確認するために、過去の Critical Patch Update を確認する
必要があります。

  以前の Critical Patch Update に対するリスク・マトリクスは、以下のURLから参照いただけます。

 ・セキュリティアラート情報 
    URL:http://support.oracle.co.jp/support/owa/mlj.m?p=160:4

各々のオラクル製品を管理するために、以下に記載のURLから、パッチの提供状況及び
適用手順を確認してください。


- Oracle Database
  Appendix A - Oracle Database Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html#AppendixA)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2007.html#DBAVAIL)


- Oracle Application Server 
  Appendix B - Oracle Application Server Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html#AppendixB)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2007.html#ASMIDTIER)


- Oracle Collaboration Suite
  Appendix C - Oracle Collaboration Suite Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html#AppendixC)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2007.html#OCSAVAIL)


- Oracle E-Business Suite and Applications
  Appendix D - Oracle E-Business Suite and Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html#AppendixD)
  パッチリリース状況
  KROWN:124277  [CPUApr2007] Oracle E-Business Suite パッチ適用前の注意事項


- Oracle Enterprise Manager
  Appendix E - Enterprise Manager Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html#AppendixE)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2007.html#OEMAVAIL)


- Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne
  Appendix F - Oracle PeopleSoft and JD Edwards Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html#AppendixF)
  パッチリリース状況
  (URL:http://technical.peoplesoft.co.jp/index_main.htm)


[リスク・マトリクス]
  このリスク・マトリクスでは、このアドバイザリー(CPUApr2007)で示される新たな
脆弱性だけをリストします。以前の Critical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「アラート」から確認いただけます。
 
 - セキュリティアラート情報 
   (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)

  本 Critical Patch Update で言及された幾つかの脆弱性は、 複数の製品へ影響を及ぼ
します。同一の脆弱性は、リスク・マトリクス内では、同じ Vuln # で表現されています。
イタリック体は、他の製品エリアから包含されるコードの脆弱性を示します。


  オラクルは、Critical Patch Update(CPU)または Security Alerts(セキュリティ・
アラート)によって示される各々のセキュリティに関する脆弱性の分析を行います。
セキュリティに関する脆弱性の分析結果は、例えば、脆弱性のタイプ、脆弱性を悪用するために
必要な条件、脆弱性が悪用された場合の影響などが、それに連なる文書に反映されます。
オラクルはその情報を部分的に公表しますので、お客様はご自身のオラクル製品の利用形態に
基づいてリスク分析を行って下さい。
ポリシーとして、オラクルは、脆弱性の悪用に利用され得るような必要条件や悪用の結果に
関する情報は公開しません。
また、オラクルは、セキュリティ・アラートまたはCPUによって告知される情報、パッチの
リリース状況、リリース・ノート(README FILE)及び FAQ 以外に、付加的な情報を提供する
ことはありません。さらにオラクルは、CPU またはセキュリティ・アラートに関して、個々
のお客様への事前通知は行ないません。最後に、オラクルは製品の脆弱性に関連する脆弱性
実証コード(Proof-of-Concept code)の開発・提供も行っておりません。


[回避策]
  攻撃が成功することによってもたらされる脅威を鑑み、オラクルは、出来るだけ早く修
正を適用されることを強く推奨します。お客様の環境によっては、攻撃のために必要となる
ネットワーク・プロトコルを制限することで、攻撃が成功した場合の危険性を軽減させら
れる可能性があります。ある特定の権限、または、ある特定のパッケージへのアクセスを
必要とする攻撃に対し、信頼できないユーザーへの権限またはパッケージへのアクセスを
剥奪することで、攻撃が成功する恐れを低減できる可能性があります。
これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクルは
これらの変更を非プロダクション・システム(本番環境ではない環境)でテストされること
を強く推奨します。いずれの手法も、根本的に問題を修正することにはなりませんので、
長期にわたって有効な解決策として見なすことはできません。


[サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンに対しては、本 Critical Patch 
Update で示されるセキュリティの脆弱性に関する検証を実施しておりません。
しかしながら、影響を受けるリリースの、より初期(ealier)のパッチセットでは、これ
らの脆弱性の影響を受ける恐れがあります。
  サポート対象の製品は、KROWN:121281 で要約された Critical Patch Update ポリシー
に従って、パッチが提供されます。

 ライフタイム・サポート・ポリシー
(http://www.oracle.com/lang/jp/support/lifetime-support-policy.html)が導入され
る前に 延長メンテナンス・サポート(EMS)をご購入されたお客様には、Critical Patch 
Update のパッチが提供されます。OiSCの「製品ライフサイクル」では、「サービスレベル
アナウンス」レターにて、延長メンテナンス・サポート (Extended Maintenance Support 
(EMS))が提供される特定のリリースとプラットホーム、およびEMSが提供される期間を確認
いただけます。

  ライフタイム・サポート・ポリシーが導入される前のアシスタンス・サポート (Extended
 Support(ES)) が提供されている製品に対し有効なライセンスを持つお客様は、既存の修正
モジュールを入手する権利があります。しかし、パッチの使用に起因して発生する新たな
問題は、アシスタンス・サポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視野
に入れた、パッチ適用計画を立案していただく必要があります。

  オラクルは、延長メンテナンス・サポート(EMS)またはライフタイム・サポート・ポリシー
の対象とならない製品バージョンへは、Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供されている最新のサポート対象バージョ
ンへアップグレードされることを強く推奨いたします。

アシスタンス・サポート(ES)と延長メンテナンス・サポート(EMS)に関するより詳細な情報は、
テクニカル・サポート・ポリシー(http://www.oracle.com/lang/jp/support/policies.html)
に記載のそれぞれのセクションを確認してください。

[Oracle Database and Oracle Application Serverにおける「要リクエスト」モデルの予告]
   CPUJul2007(2007年7月17日公開予定)より、これまでのCPUにてダウンロード件数が際立って
低調だったリリースバージョン/プラットフォームの組み合わせに対しては、お客様からリクエスト
をいただいた場合のみ、CPUパッチをリリースする方針とさせていただきます。
このモデルの導入にて、ダウンロード件数が多い組み合わせに対するサポートの、より一層の向上を
目指します。
なお、リクエストをいただかなかった組み合わせに対しても、CPUで提供される脆弱性への修正は、
必ず製品の将来のコードラインおよびパッチセットに組み込まれ続けます。

   次回のCPUにてパッチがリリースされる製品、バージョンおよびプラットフォームに関する情報、
ならびに「要リクエスト」モデルに関する情報は、

 - Critical Patch Update パッチリリース状況
   (http://support.oracle.co.jp/patchinfo/CPU/CPUApr2007.html)

の「3.9 次回 CPU でリリースが予定されているパッチ」からご確認下さい。


[参照情報]
 - KROWN:121281 Security Alerts 及び Critical Patch Update に関するFAQ 
 - KROWN:54775  データベースおよびアプリケーション・サーバーに関する不具合修正
                のポリシー
 - KROWN:122163 Risk Matrix(リスク・マトリクス)用語解説

 - 「テクニカル・サポート・ポリシー」
    (URL:http://www.oracle.com/lang/jp/support/policies.html)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. http://www.oracle.com/jp/ のトップ・ページを開く
    2. 左側「サービス」にある「サポート」のアンカーをクリック 
       (Oracle Japan / Oracle Support Servicesのページが開きます)
    3. 「Oracle Support Services」のページの左にあるリストから「テクニカル・
        サポート・ポリシー」のアンカーをクリック

 - 「セキュリティアラート情報 」(サポート契約を締結されたお客様)
    (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. OiSC(Oracle Internet Support Center)へログイン
    2. ページ右上の「製品ライフサイクル」を選択
    3. ページ・メニュー「アラート」を選択


[謝辞]
  本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。(敬称略)

 Vicente Aguilera Diaz of Internet Security Auditors, S.L.
 Gerhard Eschelbeck of Qualys, Inc.
 Esteban Martinez Fayo of Application Security, Inc. 
 Joxean Koret
 Alexander Kornbrust of Red Database Security GmbH
 David Litchfield and Paul M. Wright of Next Generation Security Software Ltd.
 noderat ratty
 TippingPoint's Zero Day Initiative


[原典]
  本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。

 - MetaLink Document ID 420055.1
  「Oracle Critical Patch Update April 2007 Advisory」 
   2007年4月17日 Initial release


[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の15日に最も近い火曜日
にリリースされます。以後4回のCPUの予定です(米国 MetaLink への公開)。

 - 2007年 7月17日 
 - 2007年10月16日
 - 2008年 1月15日
 - 2008年 4月15日


[更新履歴]
2008/03/05 日本オラクルホームページURLを変更
2007/04/20 本文書を公開