[CPUJul2008] Critical Patch Update - July 2008
[概要]
Critical Patch Update はセキュリティ脆弱性のための複数のパッチをまとめたもの
です。また、これらのセキュリティ脆弱性のためのパッチと相互依存関係にあるセキュリ
ティ脆弱性に関係のない(非セキュリティ)修正も含まれます。Critical Patch Updates
は、以下に注記されているものを除き全て累積的なパッチですが、各回のアドバイザリでは、
前の Critical Patch Updates 以降新たに追加されたセキュリティ修正のみが案内されて
います。そのため、過去のセキュリティ修正については、これまでにリリースされた
Critical Patch Updates を確認する必要があります。
以前の Critical Patch Updates は、以下のURLから参照いただけます。
・セキュリティアラート情報
http://www.oracle.com/technology/global/jp/security/index.html
攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早く修正
を適用されることを強く推奨します。本 Critical Patch Update には、全ての製品を通
じて45の新たな修正が含まれています。
[影響を受けるサポート対象製品及びコンポーネント]
本 Critical Patch Update で対応がなされているセキュリティ脆弱性は、下記のカテ
ゴリーで案内された製品に影響を及ぼします。
カテゴリー1:
ライフタイム・サポート・ポリシー(Oracle Lifetime Support Policy)における
Premier Support または Extended Support 対象の製品とそのバージョン
- Oracle Database 11g, version 11.1.0.6 [ Database ]
- Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3, 10.2.0.4 [ Database ]
- Oracle Database 10g, version 10.1.0.5 [ Database ]
- Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV [ Database ]
- Oracle TimesTen In-Memory Database version 7.0.3.0.0 [ Database ]
- Oracle Application Server 10g Release 3 (10.1.3), versions
10.1.3.1.0, 10.1.3.3.0 [ Application Server ]
- Oracle Application Server 10g Release 2 (10.1.2), versions
10.1.2.2.0, 10.1.2.3.0 [ Application Server ]
- Oracle Application Server 10g (9.0.4), version 9.0.4.3 [ Application Server ]
- Oracle Hyperion BI Plus version 9.2.0.3, 9.2.1.0,and 9.3.1.0 [ Application Server ]
- Oracle Hyperion Performance Suite version 8.3.2.4, and 8.5.0.3 [ Application Server ]
- Oracle E-Business Suite Release 12, version 12.0.4 [ E-Business Suite ]
- Oracle E-Business Suite Release 11i, version 11.5.10.2 [ E-Business Suite ]
- Oracle Enterprise Manager Database Control 11i version 11.1.0.6 [ Enterprise Manager ]
- Oracle Enterprise Manager Database Control 10g Release 2, versions
10.2.0.2, 10.2.0.3, 10.2.0.4 [ Enterprise Manager ]
- Oracle Enterprise Manager Database Control 10g Release 1, version
10.1.0.5 [ Enterprise Manager ]
- Oracle Enterprise Manager Grid Control 10g Release 1, versions
10.1.0.5, 10.1.0.6 [ Enterprise Manager ]
- Oracle PeopleSoft Enterprise PeopleTools versions 8.48.17, 8.49.11 [ PeopleSoft/JDE ]
- Oracle PeopleSoft Enterprise CRM version 8.9, 9.0 [ PeopleSoft/JDE ]
- Oracle WebLogic Server (formerly BEA WebLogic Server) 10.0 released
through MP1 [ BEA ]
- Oracle WebLogic Server (formerly BEA WebLogic Server) 9.0, 9.1, 9.2
released through MP3 [ BEA ]
- Oracle WebLogic Server (formerly BEA WebLogic Server) 8.1 released
through SP6 [ BEA ]
- Oracle WebLogic Server (formerly BEA WebLogic Server) 7.0 released
through SP7 [ BEA ]
- Oracle WebLogic Server (formerly BEA WebLogic Server) 6.1 released
through SP7 [ BEA ]
カテゴリー2:
カテゴリー1で案内されている製品に同梱される製品とコンポーネントには、本 Critical
Patch Update に含まれる修正による影響を受けるものはありません。
カテゴリー3:
単体のインストールではサポート期間が終了した製品でも、カテゴリー1で案内されている
製品との組み合わせでサポート対象となる製品
- Oracle9i Database Release 1, versions 9.0.1.5 FIPS+ [ Application Server ]
- Oracle9i Application Server Release 1, version 1.0.2.2 [ E-Business Suite ]
カテゴリー3製品向けのパッチは、これらの製品がカテゴリー1の製品の一部としてイン
ストールされた場合にのみ適用いただけます。また、それらのパッチは、サポートされた
構成と環境でのみ検証されております。なお、パッチの有効性とリリース状況については、
それぞれの製品に関する文書を参照して下さい。
[パッチのリリース状況とリスク・マトリクス]
Oracle Database、Oracle Application Server、Oracle Enterprise Manager
Grid Control、Oracle E-Business Suite Applications (Release 12 のみ)、
JD Edwards EnterpriseOne、JD Edwards OneWorld Tools、PeopleSoft Enterprise
Portal Applications、PeopleSoft Enterprise PeopleTools、および
Siebel Enterprise 向けのパッチは累積的なものです。これらの製品向けの Critical
Patch Update には、これまでにそれらの製品向けにリリースされた Critical Patch
Updates に含まれる修正を全て含みます。
E-Business Suite Release 11i のパッチは累積的ではありません。よって、
E-Business Suite をご利用お客様は、適用すべき修正を見つけるために、過去の
Critical Patch Updates を確認する必要があります。Oracle Collaboration Suite の
パッチは、July 2007 Critical Patch Update までのものは累積的でした。July 2007
Critical Patch Update から以降は、通常オラクルがお客様に単一の不具合修正を提供
する仕組みとして使っている個別パッチの形式にてパッチを提供いたします。
以前の Critical Patch Updates は、以下のURLから参照いただけます。
・セキュリティアラート情報
http://www.oracle.com/technology/global/jp/security/index.html
お客様が管理されている各オラクル製品について、以下に記載のURLから、パッチの提供
状況及び適用手順を確認して下さい。
- Oracle Database
Appendix A - Oracle Database Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixA
パッチリリース状況
http://support.oracle.co.jp/patchinfo/CPU/CPUJul2008.html#CEGBBCDE
- Oracle Application Server
Appendix B - Oracle Application Server Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixB
パッチリリース状況
http://support.oracle.co.jp/patchinfo/CPU/CPUJul2008.html#CEGCJAGB
- Oracle Collaboration Suite
Appendix C - Oracle Collaboration Suite Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixC
パッチリリース状況
http://support.oracle.co.jp/patchinfo/CPU/CPUJul2008.html#CEGEEFAE
- Oracle E-Business Suite and Applications
Appendix D - Oracle E-Business Suite and Applications Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixD
パッチリリース状況
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=605117.1
- Oracle Enterprise Manager
Appendix E - Enterprise Manager Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixE
パッチリリース状況
http://support.oracle.co.jp/patchinfo/CPU/CPUJul2008.html#CEGDGADG
- Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne
Appendix F - Oracle PeopleSoft and JD Edwards Applications Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixF
パッチリリース状況
http://www.peoplesoft.com/media/en/pdf/psftjul08cpunote.pdf
- Oracle Siebel Enterprise
Siebel 製品の最新の脆弱性への修正は、Critical Patch Update Advisory - April 2008
をご覧下さい。
Appendix G - Oracle Siebel Enterprise
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html#AppendixG
Critical Patch Update Advisory - April 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127788
- Oracle WebLogic Server
Appendix H - BEA Product Suite Risk Matrix
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html#AppendixF
パッチリリース状況
https://support.bea.com/application_content/product_portlets/securityadvisories/index.html
[リスク・マトリクス]
このリスク・マトリクスでは、このアドバイザリー(CPUJul2008)で示される新たな脆弱性
だけをご案内いたします。以前の Critical Patch Updates に対するリスク・マトリクスは、
以下のURLから参照いただけます。
・セキュリティアラート情報
http://www.oracle.com/technology/global/jp/security/index.html
本 Critical Patch Update で案内された脆弱性の幾つかは、 複数の製品へ影響を及ぼ
します。同一の脆弱性は、リスク・マトリクス内では、同じ Vuln # で表現されています。
イタリック体は、他の製品エリアから包含されるコードの脆弱性を示します。
セキュリティに関する脆弱性は、CVSS version 2.0 を用いて評価されています。
・Oracle CVSS Scoring
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.htm
オラクル社は、Critical Patch Update(CPU)によって案内されるそれぞれのセキュリティ
脆弱性の分析を行います。オラクル社は、その分析結果の全てを公表しませんが、結果を
まとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用する
ために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。オラクル社は
このようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態
に基づいてリスク分析を行って下さい。大原則として、オラクル社は、脆弱性の悪用に利用
され得るような必要条件や悪用の結果に関する詳しい情報は一切公開しません。また、
オラクル社は、セキュリティ・アラートまたはCPUによって告知される情報、パッチの
リリース状況、リリース・ノート(README FILE)及び FAQを上回る追加情報は提供しません。
さらにオラクル社は、CPU またはセキュリティ・アラートに関して、個々のお客様への事前
通知は行ないません。最後に、オラクル社は製品の脆弱性に関連する脆弱性実証コード
(Proof-of-Concept code)の開発・提供も行っておりません。
Critical Patch Update - July 2008 より、オラクル社は、従来のオラクル社独自の識別番号
ではなく、Common Vulnerabilities and Exposures (CVE) 識別番号にて、リスク・マトリクス
での脆弱性情報の表記を行います(詳しくは FAQ を参照)。公に発表されたセキュリティ
脆弱性にはCVE 識別番号が付けられ、それを Common Vulnerabilities and Exposures が
ディクショナリ化して管理します。
[回避策]
攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早く
修正を適用されることを強く推奨します。お客様の環境によっては、攻撃のために必要と
なるネットワーク・プロトコルを制限することで、攻撃が成功した場合の危険性を軽減さ
せられる可能性があります。ある特定の権限、または、ある特定のパッケージへのアクセス
を必要とする攻撃に対し、信頼できないユーザーへの権限またはパッケージへのアクセスを
剥奪することで、攻撃が成功する恐れを低減できる可能性があります。これらの手法は、
アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を
非プロダクション・システム(本番環境ではない環境)でテストされることを強く推奨します。
いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な
解決策として見なすことはできません。
[サポート期間が終了した製品]
サポート対象外の製品、リリース及びバージョンに対しては、本 Critical Patch
Update で示されるセキュリティ脆弱性に関する検証を実施しておりません。
しかしながら、影響を受けるリリースの、より初期(ealier)のパッチ・セットでは、これら
の脆弱性の影響を受ける恐れがあります。
Critical Patch Update のパッチは、ライフタイム・サポート・ポリシーにおける
Premier Support または Extended Support期間が終了した製品とバージョンには提供
されません。オラクル社は、お客様がCritical Patch Update が提供されている最新の
サポート対象バージョンへアップグレードされることを推奨します。
・ライフタイム・サポート・ポリシー
http://www.oracle.com/lang/jp/support/lifetime-support-policy.html
Extended Support期間の製品とバージョン:
Critical Patch Update のパッチは、ライフタイム・サポート・ポリシーにおける
Extended Supportをご購入されたお客様にのみ提供されます。有効なExtended Supportの
ご契約をお持ちでない限り、パッチをダウンロードいただくことはできません。また、
Sustaining Support期間にある製品やサポート対象外の製品に適用するために、Critical
Patch Update のパッチをダウンロードすることはできません。
サポート対象の製品とバージョンには、下部の参照情報の項にある不具合修正のポリシー
(MetaLink Note 209768.1)に従ってパッチが提供されます。また、各サポート期間にお
けるオラクル製品のサポート方針ついては、テクニカル・サポート・ポリシーを確認下さい。
・テクニカル・サポート・ポリシー
http://www.oracle.com/lang/jp/support/policies.html
[Oracle Database and Oracle Application Serverにおける「要リクエスト」モデルについて]
これまでのCPUにてダウンロード件数が際立って低調だったリリースバージョン/プラット
フォームの組み合わせに対しては、お客様からパッチの申請がされた場合のみ、CPUパッチを
リリースする方針とさせて頂きます。このモデルの導入によって、ダウンロード件数が多い
組み合わせに対するサポートの、より一層の向上を目指します。なお、パッチの申請が無
かった組み合わせに対しても、CPUで提供される脆弱性の修正は、必ず製品の将来のコード
ラインおよびパッチセットへの組み込みは継続されます。
次回CPUにおいてパッチがリリースされる製品、バージョンおよびプラットフォームに
関する情報、ならびに「要リクエスト」モデルに関する情報は、
・Critical Patch Update July 2008 Oracle Server および Middleware 製品向けパッチのリリース状況
http://support.oracle.co.jp/patchinfo/CPU/CPUJul2008.html
の「4.13 次回 Critical Patch Update でのパッチのリリース予定」からご確認下さい。
[謝辞]
本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されました(敬称略)。
Flavio Casetta of Yocoya; Esteban Martinez Fayo of Application Security, Inc.;
Johannes Greil of SEC Consult; guyp of Sentrigo; Joxean Koret; Alexander Kornbrust
of Red Database Security; Stephen Kost of Integrigy; Dave Lewis; David Litchfield
of NGS Software; Hirofumi Oka of JPCERT/CC Vulnerability Handling Team; Tanel Poder;
Alexandr Polyakov of Digital Security; Andrea Purificato; and Dave Wichers of Aspect
Security.
Security-In-Depth Contributors
オラクル社は、弊社の Security-In-Depth プログラムに貢献して下さった方々に謝意を
表明します。この Security-In-Depth プログラム とは、Critical Patch Updates での
対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの
大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして
下さった方々に、特別の謝意を表明するプログラムです。
本 Critical Patch Update では、オラクル社は、次の方に特別の謝意を表明します(敬称略)。
Alexander Kornbrust of Red Database Security
Critical Patch Update - July 2008 での謝辞
オラクル社は、次の方に、Critical Patch Update - July 2008 に含まれる脆弱性を
ご報告いただいたことに謝辞を表明いたします。(オラクル社の不注意により、Critical
Patch Update - July 2008 Advisory にて、この方への謝辞の表明を怠ってしまいました)。(敬称略)
Laszlo Toth
[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の15日に最も近い火曜日に公開
されます。今後4回のCPUの予定です(米国時間における Oracle MetaLink への公開)。
- 2008年 10月14日
- 2009年 1月13日
- 2009年 4月14日
- 2009年 7月14日
[参照情報]
- Oracle Critical Patch Updates and Security Alerts main page [ Oracle Technology Network ]
http://www.oracle.com/technology/deploy/security/alerts.htm
- Oracle PeopleSoft Security main page [ Customer Connection ]
http://www.peoplesoft.com/corp/en/support/security_index.jsp
- Critical Patch Update - July 2008 Documentation Map [ MetaLink Note 605152.1 ]
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=605152.1
- Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions [ CPU FAQ ]
http://www.oracle.com/technology/deploy/security/cpu/cpufaq.htm
- Risk Matrix definitions [ Risk Matrix Definitions ]
http://www.oracle.com/technology/deploy/security/cpu/advisorymatrixglossary.htm
日本語翻訳は KROWN:122163 にて提供
- Use of Common Vulnerability Scoring System (CVSS) by Oracle [ Oracle CVSS Scoring ]
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.htm
- List of public vulnerabilities fixed in Critical Patch Updates and Security Alerts
[ Oracle Technology Network ]
http://www.oracle.com/technology/deploy/security/critical-patch-updates/public_vuln_to_advisory_mapping.html
- Software Error Correction Support Policy [MetaLink Note 209768.1 ]
http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=209768.1
日本語翻訳は KROWN:54775 にて提供
- Security Advisories Notifications for BEA products [BEA Security Advisories ]
https://support.bea.com/application_content/product_portlets/securityadvisories/index.html
[原典]
本KROWNは、Oracle Technology Network(http://www.oracle.com/technology/) に
掲載の以下の文書を翻訳したものです。
- Oracle Critical Patch Update Advisory - July 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/CPUJul2008.html
[更新履歴]
2008/07/15 原典を公開
2008/07/18 本KROWNにて翻訳を公開
2008/07/31 EBSのパッチリリース状況のURLを修正
|
Topics
Printer View