文書番号 127343 最終更新日 2008-01-22 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition ( - ) []
Application Server 全般(インストール,PSR等) ( - ) []
Application Install ( - ) []
Oracle Collaboration Suite ( - ) []
Oracle Enterprise Manager ( - ) []
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 122163   127334  
概要 [CPUJan2008] Critical Patch Update - January 2008
内容:
[CPUJan2008] Critical Patch Update - January 2008


[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。Critical Patch Updates は累積的ですが、各々の
アドバイザリには、以前のCritical Patch Updates から新たに追加されたセキュリティ
に関連する修正のみを記述しています。そのため、過去のセキュリティに関する修正につい
ては、これまでにリリースされた Critical Patch Updates を確認する必要があります。


攻撃が成功することによってもたらされる脅威を鑑み、オラクル社は、出来るだけ早く修正
を適用されることを強く推奨します。本 Critical Patch Update では、全ての製品を通
じて26の新たな修正が含まれています。


[影響を受けるサポート対象製品及びコンポーネント]
  本 Critical Patch Update で示されるセキュリティの脆弱性は、下記のカテゴリーに
記載された製品へ影響を及ぼします。

  本 Critical Patch Update には、Oracle Configuration Manager (OCM) が含まれて
います。OCM は、より上質な予防的サポートをお客様に提供するために開発された製品です。
詳しくは、http://www.oracle.com/technology/documentation/ocm.htmlをご覧下さい。


カテゴリー1:
ライフタイム・サポート・ポリシー(Oracle Lifetime Support policy)における 
Premier Support または Extended Support対象の製品とバージョン

 - Oracle Database 11g, version 11.1.0.6                               [ Database ] 
 - Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3          [ Database ] 
 - Oracle Database 10g, version 10.1.0.5                               [ Database ] 
 - Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV           [ Database ] 
 - Oracle Application Server 10g Release 3 (10.1.3), versions 
   10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0                                  [ Application Server ] 
 - Oracle Application Server 10g Release 2 (10.1.2), versions 
   10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0                                  [ Application Server ] 
 - Oracle Application Server 10g (9.0.4), version 9.0.4.3              [ Application Server ] 
 - Oracle Collaboration Suite 10g, version 10.1.2                      [ Collaboration Suite ] 
 - Oracle E-Business Suite Release 12, versions 12.0.0  - 12.0.3       [ E-Business Suite ]  
 - Oracle E-Business Suite Release 11i, versions 11.5.9 - 11.5.10 CU2  [ E-Business Suite ]  
 - Oracle PeopleSoft Enterprise PeopleTools versions 8.22, 8.48, 8.49  [ PeopleSoft/JDE ]  


カテゴリー2:
カテゴリー1のリストに記載された製品に同梱される製品とコンポーネントには、
本 Critical Patch Update に含まれる修正による影響を受けるものはありません。


カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1のリストに記載
された製品との組み合わせでサポート対象となる製品

 - Oracle9i Database Release 1, versions 9.0.1.5 FIPS+                 [ Application Server ]
 - Oracle9i Application Server Release 1, version 1.0.2.2              [ E-Business Suite ]

カテゴリー3製品向けのパッチは、これらの製品がカテゴリー1の製品の一部としてイン
ストールされた場合にのみ適用いただけます。また、それらのパッチは、サポートされた
構成と環境でのみ検証されております。なお、パッチの有効性とリリース状況については、
それぞれの製品に関する文書を参照して下さい。


カテゴリー4:
特定のプラットフォームにおいてのみサポートされる製品
本 Critical Patch Update に含まれる修正による影響を受けるものはありません。


[パッチのリリース状況とリスク・マトリクス]
  Oracle Database、Oracle Application Server、Oracle Enterprise Manager 
Grid Control、Oracle E-Business Suite Applications (Release 12 のみ)、
JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise 
Portal Applications、および PeopleSoft Enterprise PeopleTools に関するパッチ
は累積的なものです。それぞれの Critical Patch Update は、これまでの Critical 
Patch Update に含まれる修正を全て含みます。

  E-Business Suite Release 11i のパッチは累積的ではありません。よって、
E-Business Suite をご利用お客様は、適用を希望する修正を確認するために、過去の 
Critical Patch Update を確認する必要があります。Oracle Collaboration Suite の
パッチは、April 2007 Critical Patch Update までのものは累積的でした。July 2007 
Critical Patch Update から以降は、通常オラクルがお客様に単一の不具合修正を提供
する仕組みとして使っている個別パッチの形式にてパッチを提供いたします。

  以前の Critical Patch Updateは、以下のURLから参照いただけます。

 ・セキュリティアラート情報 
    URL:http://support.oracle.co.jp/support/owa/mlj.m?p=160:4

お客様が管理されている各オラクル製品について、以下に記載のURLから、パッチの提供
状況及び適用手順を確認して下さい。


- Oracle Database
  Appendix A - Oracle Database Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJan2008.html#AppendixA)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2008.html#DBAVAIL)


- Oracle Application Server 
  Appendix B - Oracle Application Server Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJan2008.html#AppendixB)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2008.html#ASMIDTIER)


- Oracle Collaboration Suite
  Appendix C - Oracle Collaboration Suite Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJan2008.html#AppendixC)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2008.html#OCSAVAIL)


- Oracle E-Business Suite and Applications
  Appendix D - Oracle E-Business Suite and Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJan2008.html#AppendixD)
  パッチリリース状況
  KROWN:127334  [CPUJan2008] Oracle E-Business Suite 11iパッチ適用前の注意事項


- Oracle Enterprise Manager
  Appendix E - Enterprise Manager Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJan2008.html#AppendixE)
  パッチリリース状況
  (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2008.html#OEMAVAIL)


- Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne
  Appendix F - Oracle PeopleSoft and JD Edwards Applications Risk Matrix 
  (URL:http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJan2008.html#AppendixF)
  パッチリリース状況
  (URL:http://www.oracle-is.jp/technical/)


[リスク・マトリクス]
  このリスク・マトリクスでは、このアドバイザリー(CPUJan2008)で示される新たな脆弱性
だけをリストします。以前の Critical Patch Update に対するリスク・マトリクスは、
OiSC内の「製品ライフサイクル」-「アラート」から確認いただけます。
 
 - セキュリティアラート情報 
   (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)

  本 Critical Patch Update で言及された幾つかの脆弱性は、 複数の製品へ影響を及ぼ
します。同一の脆弱性は、リスク・マトリクス内では、同じ Vuln # で表現されています。
イタリック体は、他の製品エリアから包含されるコードの脆弱性を示します。

  セキュリティに関する脆弱性は、CVSS version 2.0 MetaLink Note 394487.1 を参照)
を用いて評価されています。オラクル社は、Critical Patch Update(CPU)によって示さ
れるそれぞれのセキュリティに関する脆弱性の分析を行います。オラクル社は、その分析
結果の全てを公表しませんが、結果をまとめたリスク・マトリクスや関連する文書を通じて、
脆弱性のタイプ、脆弱性を悪用するために必要な条件、脆弱性が悪用された場合の影響など
の情報を提供します。オラクル社はこのようにして部分的に情報を公表しますので、お客様
はご自身のオラクル製品の利用形態に基づいてリスク分析を行って下さい。大原則として、
オラクル社は、脆弱性の悪用に利用され得るような必要条件や悪用の結果に関する詳しい
情報は一切公開しません。また、オラクル社は、セキュリティ・アラートまたはCPUによっ
て告知される情報、パッチのリリース状況、リリース・ノート(README FILE)及び FAQを
上回る追加情報は提供しません。
さらにオラクル社は、CPU またはセキュリティ・アラートに関して、個々のお客様への事前
通知は行ないません。最後に、オラクル社は製品の脆弱性に関連する脆弱性実証コード
(Proof-of-Concept code)の開発・提供も行っておりません。



[回避策]
  攻撃が成功することによってもたらされる脅威を鑑み、オラクル社は、出来るだけ早く
修正を適用されることを強く推奨します。お客様の環境によっては、攻撃のために必要と
なるネットワーク・プロトコルを制限することで、攻撃が成功した場合の危険性を軽減さ
せられる可能性があります。ある特定の権限、または、ある特定のパッケージへのアクセス
を必要とする攻撃に対し、信頼できないユーザーへの権限またはパッケージへのアクセスを
剥奪することで、攻撃が成功する恐れを低減できる可能性があります。これらの手法は、
アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を
非プロダクション・システム(本番環境ではない環境)でテストされることを強く推奨します。
いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な
解決策として見なすことはできません。


[サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンに対しては、本 Critical Patch 
Update で示されるセキュリティの脆弱性に関する検証を実施しておりません。
しかしながら、影響を受けるリリースの、より初期(ealier)のパッチセットでは、これら
の脆弱性の影響を受ける恐れがあります。

  Critical Patch Update のパッチは、ライフタイム・サポート・ポリシーにおける 
Premier Support または Extended Support期間が終了した製品とバージョンには提供
されません。オラクル社は、お客様がCritical Patch Update が提供されている最新の
サポート対象バージョンへアップグレードされることを推奨します。

 - ライフタイム・サポート・ポリシー 
   (http://www.oracle.com/lang/jp/support/lifetime-support-policy.html)

Extended Support期間の製品とバージョン:
  Critical Patch Update のパッチは、Extended Supportをご購入されたお客様にのみ
提供されます。有効なExtended Supportのご契約をお持ちでない限り、パッチをダウン
ロード頂くことはできません。また、Sustaining Support期間にある製品とバージョンや
サポート対象外の製品とバージョンに適用するために、Critical Patch Update のパッチ
をダウンロードすることはできません。

  サポート対象の製品とバージョンには、下部の参照情報の項にある不具合修正のポリシー
(MetaLink Note 209768.1)に従ってパッチが提供されます。また、各サポート期間にお
けるオラクル製品のサポート方針ついては、テクニカル・サポート・ポリシーを確認下さい。

 - テクニカル・サポート・ポリシー 
   (http://www.oracle.com/lang/jp/support/policies.html)


[Oracle Database and Oracle Application Serverにおける「要リクエスト」モデルについて]
  これまでのCPUにてダウンロード件数が際立って低調だったリリースバージョン/プラット
フォームの組み合わせに対しては、お客様からパッチの申請がされた場合のみ、CPUパッチを
リリースする方針とさせて頂きます。このモデルの導入によって、ダウンロード件数が多い
組み合わせに対するサポートの、より一層の向上を目指します。なお、パッチの申請が無
かった組み合わせに対しても、CPUで提供される脆弱性の修正は、必ず製品の将来のコード
ラインおよびパッチセットへの組み込みは継続されます。

  次回CPUにおいてパッチがリリースされる製品、バージョンおよびプラットフォームに
関する情報、ならびに「要リクエスト」モデルに関する情報は、

 - Critical Patch Update January 2008 Oracle Server および Middleware 製品向けパッチのリリース状況
   (http://support.oracle.co.jp/patchinfo/CPU/CPUJan2008.html)

の「4.12 次回CPU でリリースが予定されているパッチ」から確認下さい。


[参照情報]
 - MetaLink Note 209768.1
   Database, Fusion Middleware & Collaboration Suite Software Error Correction Support Policy
   2008年1月4日 改訂

   上記 MetaLink Note 209768.1 は、KROWN:54775 にて翻訳が提供されておりますが、
   今般の改訂にについては、2008年2月初旬の公開を目標に翻訳作業中を進めております。
   翻訳が完了するまでの間は、MetaLink Note 209768.1 をご覧下さい。

 - KROWN:122163 Risk Matrix(リスク・マトリクス)用語解説

 - 「テクニカル・サポート・ポリシー」
    (URL:http://www.oracle.com/lang/jp/support/policies.html)
    このページへは次のリンクをたどることで参照が可能です。
    1. 日本オラクルのトップ・ページを開く
       (URL:http://www.oracle.com/lang/jp/)
    2. ページ上部にある「サポート」のアンカーをクリック 
    3. ページ左側にある「テクニカル・サポート・ポリシー」のアンカーをクリック

 - 「セキュリティアラート情報 」(サポート契約を締結されたお客様)
    (http://support.oracle.co.jp/support/owa/mlj.m?p=160:4)
    このページへは次のリンクをたどることで参照が可能です。
    1. OiSC(Oracle Internet Support Center)へログイン
    2. ページ右上の「製品ライフサイクル」を選択
    3. ページ・メニュー「アラート」を選択


[謝辞]
  本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されま
した。(敬称略)

 CERT/CC; Esteban Martinez Fayo of Application Security, Inc.
 Pete Finnigan
 Joxean Koret
 Alexander Kornbrust of Red Database Security
 Ali Kumcu of inTellectPro
 David Litchfield of NGS Software
 Mariano Nunez Di Croce of CYBSEC S.A.
 Alexandr Polyakov of Digital Security


[原典]
  本KROWNは、Oracle Technology Network(http://www.oracle.com/technology/) に
  掲載の以下の文書を翻訳したものです。

 - Oracle Critical Patch Update Advisory - January 2008
   (http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html)
   2008年1月15日 Initial release


[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の15日に最も近い火曜日に公開
されます。今後4回のCPUの予定です(米国時間における Oracle MetaLink への公開)。

 - 2008年 4月15日
 - 2008年 7月15日
 - 2008年 10月14日
 - 2009年 1月13日


[更新履歴]
2008/1/18 本文書を公開