「Critical Patch Update - January 2005」
[概要]
この Critical Patch Update は、複数のセキュリティの脆弱性のための修正を
含む累積的なパッチです。(このCritical Patch Updateには、Oracle Security
Alert #68 の全ての修正が含まれます。)また、これらのセキュリティに関する修正に
加えて、相互依存のために必要となった非セキュリティの修正も含まれます。
この新しいプロセスの詳細については、KROWN:92731 をご参照ください。
- KROWN:92731 "「Critical Patch Update」に関する一般的なFAQ "
Critical Patch Updateでは、脆弱性の深刻度をお客様が判断が可能なように、
Risk Matrix(リスク・マトリクス)を提供します。
マトリクスでは、以下の情報を提供します:
・Access Required:
脆弱性を利用するために必要とされるアクセス。ネットワーク越しの攻撃が
可能なケースでは、攻撃によって使用されるプロトコルをリストします。
・Authentication Needed:
脆弱性を利用するために必要となる追加条件やアクセス権限をリストします。
・Risk:
脆弱性を利用された場合のリスク度合いを示します。ここでは、Confidentiality
(機密性:プライバシーの侵害等)、Integrity(完全性:情報の改ざん等)、
Availability(可用性:サービスの停止等)によってリスクを分類しています。
各々の分類において、脆弱性を利用するための容易性(Ease)と、攻撃が成功した場合
にその攻撃が引き起こす悪影響の度合い(Impact)を示します。最も深刻な脆弱性は、
簡単(Easy)かつ影響度の広い(Wide)脆弱性です。
・Earliest Supported Release Affected:
この脆弱性の影響を受ける、最も初期のリリースを示します。
(注意: ここにリストされるのはサポート期間中のリリースのみのため、リストに
ないリリースにおいても脆弱性が存在する可能性はあります)
・Last Affected Patchset:
サポート期間中の各リリースにおいて、脆弱性の影響を受けるパッチセットの
上限を示します。
たとえば、Oracle Database 10g Release 1, バージョン 10.1.0.2 を使用しており、
脆弱性 DB06 の影響を受けるかどうかを確認したいケースを想定します。Oracle
Database Server Risk Matrix を見ると、DB06 は Earliest Supported Release
Affected 欄に '10g'、Last Affected Patch Set欄に '10.1.0.3.1 (10g)' と表記
されています。ここから、現在サポート中の 10gリリースの 10.1.0.3.1 までの
リリース(10.1.0.3.1を含む)が影響を受けることがわかります。
つまり、使用中のOracle Database 10g Release 1, バージョン 10.1.0.2 は
この問題の影響を受けます。
・Component:
脆弱性の影響を受けるコンポーネントもリストされます。多くの場合、該当する
コンポーネントがシステムにインストールされているだけで、脆弱性の影響を
受けてしまいます。この情報は、お客様のシステムのテストにご利用いただく
ために提供しており、特定の攻撃に対するシステムの脆弱性をこの情報から
判断することはできません。
・Workaround:
回避策が提示可能な場合、それを提示します。対象となる製品以外の
オラクル製品に副作用を与える可能性のある回避策はここでは紹介されません。
Risk Matrix(リスク・マトリクス)において、使用されている用語につきましては、
KROWN:94992 '[CPUJan2005] Risk Matrix(リスク・マトリクス)用語解説'を参照ください。
注意:
オラクルでは、各脆弱性に関するリスクと影響度を個別に評価しています。
いくつかの脆弱性を組み合わせた攻撃に関する分析は行っていません。
[Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
報の方針声明]
オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、
関連するドキュメントへ記載されます。
たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用され
た場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環
境に応じたリスク分析を実施することが可能です。
オラクルの方針として、CPUまたはセキュリティ・アラート、パッチ適用前の注意事項、
READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性の詳細に関する付
加的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたはセキュリティ・
アラート等の事前の通知、または「インサイダー情報」を提供いたしません。また、オラ
クルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の開発・提供
も行っておりません。
[フル・サポート期間が終了した製品バージョンに対する Critical Patch Update の有効性]
延長メンテナンス・サポート(EMS:Extended Maintenance Support)を購入したお客様
は、Critical Patch Updateを利用することができます。製品の製品の”サービスレベ
ル アナウンス”発表時に、その特定のリリースとプラットホームにおいてEMSが利用でき
る期間が示されます。
アシスタンス・サポート(ES:Extended Support)製品のための有効なライセンスを持
つお客様は、既存の修正モジュールを入手する権利があります。しかし、パッチの使用
に起因して発生する新たな問題は、アシスタンス・サポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも
視野に入れた、パッチ適用計画を立案していただく必要があります。
オラクルは延長メンテナンス・サポート(EMS)の対象とならない製品バージョンへは
Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョン
へオラクル製品をアップ・グレードされることを強く推奨いたします。
[影響を受けるサポート対象の製品]
サポート対象となる影響を受ける製品リリースとバージョンを以下に示します。
- Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3 and 10.1.0.3.1
(10.1.0.3.1 is supported for Oracle Application Server only)
- Oracle9i Database Server Release 2, versions 9.2.0.4, 9.2.0.5 and 9.2.0.6
- Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5 and 9.0.1.5 FIPS
(all of which are supported for Oracle Application Server only)
- Oracle8i Database Server Release 3, version 8.1.7.4
- Oracle8 Database Release 8.0.6, version 8.0.6.3 (supported for E-Business Suite only)
- Oracle Application Server 10g Release 2 (10.1.2)
- Oracle Application Server 10g (9.0.4), versions 9.0.4.0 and 9.0.4.1
- Oracle9i Application Server Release 2, versions 9.0.2.3 and 9.0.3.1
- Oracle9i Application Server Release 1, version 1.0.2.2
- Oracle Collaboration Suite Release 2, version 9.0.4.2
- Oracle E-Business Suite and Applications Release 11i (11.5)
- Oracle E-Business Suite and Applications Release 11.0
この Critical Patch Update により新規に修正されるデータベースの脆弱性は、
Oracle Database Clientのみインストールされた環境(Oracle Database Server が
インストールされていない環境)には悪影響を与えません。この Critical Patch
Update は Security Alert 68 の修正も全て含んでいるため、Client に対しては
Security Alert 68 の修正と本 Critical Patch Update による修正は同じものが
提供されています。Client のみのインストール環境に対して Security Alert 68
の修正が適用されていない場合には、Security Alert 68 もしくは 本 Critical
Patch Update のいずれかの修正を適用してください。
サポート対象外の製品、リリース及びバージョンにおいては、これらの脆弱性の確認は
行われておりません。データベースおよびアプリケーション・サーバーに関する不具合
修正のポリシー (KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。
しかしながら、影響を受けるリリースのより初期のパッチセット・レベルでは、脆弱性
の影響を受ける可能性が高くなります。
[Oracle Database Server]
- Oracle Database Server に関する脆弱性の深刻度を判断するために次のリスク・マ
トリクスを確認します。
・「Critical Patch Update - January 2005 / Appendix」(PDF)
上記PDFからつぎの補足資料を確認します。
Appendix A
Oracle Database Server Risk Matrix
Critical Patch Update - January 2005
- CPUJan2005 のパッチ を Oracle Database Server へ適用される場合は、事前に
KROWN:95112 を確認します。
・KROWN:95112 [CPUJan2005] Oracle Database パッチ適用前の注意事項
[Oracle Enterprise Manager Grid Control]
- この Critical Patch Updateには、Oracle Enterprise Manager Grid Control
に対する新規の修正は含まれていません。この Critical Patch Update には
Security Alert 68 に含まれる Oracle Enterprise Manager に対する修正と
同等のものが含まれます。
- CPUJan2005のパッチを Oracle Enterprise Manager Grid Control へ適用
される場合は、事前に KROWN:95135 を確認します。
・KROWN:95135 [CPUJan2005] Oracle EM Grid Control パッチ適用前の注意事項
[Oracle Application Server]
- Oracle Application Server に関する脆弱性の深刻度を判断するために次のリスク・
マトリクスを確認します。
・「Critical Patch Update - January 2005 / Appendix」(PDF)
上記PDFからつぎの補足資料を確認します。
Appendix B
Oracle Application Server Risk Matrix
Critical Patch Update - January 2005
- CPUJan2005 のパッチ を Oracle Application Server へ適用される場合は、事前に
KROWN:95043 を確認します。
・KROWN:95043 [CPUJan2005] Oracle Application Server パッチ適用前の注意事項
[Oracle Collaboration Suite]
- Oracle Collaboration Suite に関する脆弱性の深刻度を判断するために次のリスク・
マトリクスを確認します。
・「Critical Patch Update - January 2005 / Appendix」(PDF)
上記PDFからつぎの補足資料を確認します。
Appendix C
Oracle Collaboration Suite Risk Matrix
Critical Patch Update - January 2005
- CPUJan2005 のパッチ を Oracle Collaboration Suite へ適用される場合は、事前に
KROWN:95003 を確認します。
・KROWN:95003 [CPUJan2005] Oracle Collaboration Suite パッチ適用前の注意事項
[Oracle E-Business and Applications]
- この Critical Patch Update には、2004年12月27日にリリースされた Alert 68
Revision 3 による Oracle8 Database Release 8.0.6 バージョン 8.0.6.3 への
修正が含まれます。Oracle E-Business をご利用のお客様は必ずこのパッチを
適用してください。
- Oracle E-Business and Applications に関する脆弱性の深刻度を判断するために次
のリスク・マトリクスを確認します。
・「Critical Patch Update - January 2005 / Appendix」(PDF)
上記PDFからつぎの補足資料を確認します。
Appendix D
Oracle E-Business Suite Risk Matrix
Critical Patch Update - January 2005
- CPUJan2005 のパッチ を Oracle E-Business and Applications へ適用される場合は、
事前に KROWN:95189 を確認します。
・KROWN:95189 [CPUJan2005] Oracle E-Business Suite パッチ適用前の注意事項
[謝辞]
このCritical Patch Updateに含まれる脆弱性は、下記の方々に
より発見・報告されました。
- Pete Finnigan, Alexander Kornbrust of Red Database Security
- Stephen Kost of Integrigy
- David Litchfield of NGSS Limited
(敬称略)
[原典]
本文書はOTN(URL:http://otn.oracle.co.jp) で公開いたしました次の文書を翻訳したものです。
「Critical Patch Update - January 2005, rev 1, released 18 January 2005 」PDF版
(訳注)
本文書内で使用される用語につきましては、弊社ホームページの「テクニカル・サポー
ト・ポリシー」のページをご確認ください。(http://www.oracle.com/lang/jp/support/policies.html)
本文書内で使用いたします以下の用語が説明されております。
・サポート・サービス・レベル
・フル・サポート(ECS:Error Correction Support)
・アシスタンス・サポート(ES:Extended Support)
・延長メンテナンス・サポート(EMS:Extended Maintenance Support)
本文書内では特に明記されない限りつぎの解釈となります。
・単独で「サポート」と表記される場合は、上記「フル・サポート」を意味します。
・「サポート期間」と表記される場合は、上記「フル・サポート」が有効な期間を
意味します。
・延長メンテナンス・サポート契約をご締結のお客様は、ご契約対象の弊社製品・リ
リースにつきまして上記「フル・サポート」に準じます。この場合も含んで単に
「サポート期間」と記述されていることがあります。
[参照情報]
-「Critical Patch Update - January 2005 / Appendix」(PDF)
本KROWN内で引用されたこの PDF ファイルは「Critical Patch Update - January 2005」
のページで確認が可能 (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUJan2005.html)
- KROWN:92731 「Critical Patch Update」に関する一般的なFAQ
- KROWN:54775 データベースおよびアプリケーション・サーバーに関する不具合修正
のポリシー
- KROWN:88842 #68 : Oracle Server製品に関するセキュリティの脆弱性
- KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」
- 「テクニカル・サポート・ポリシー」 (URL : http://www.oracle.com/lang/jp/support/policies.html)
このページへはつぎのリンクをたどることで参照が可能です。
1. http://www.oracle.com/jp のトップ・ページを開く
2. 上段にある「サポート」のアンカーをクリック
(Oracle Japan / Oracle Support Servicesのページが開きます)
3. 「Oracle Support Services」のページの左にあるリストから「テクニカル・
サポート・ポリシー」のアンカーをクリック
[更新履歴]
2008/05/16 日本オラクルホームページURLを変更
2005/04/08 [影響を受けるサポート対象の製品] の情報を更新
2005/02/04 誤字を修正
2005/02/02 [影響を受けるサポート対象の製品]の version 9.0.1.x に関する記述を変更
2005/01/21 本文書を公開
|