文書番号 98032 最終更新日 2008-05-16 公開区分 一般公開 文書タイプ REFERENCE
製品名(バージョン)[コンポーネント] Oracle Server - Enterprise Edition (ALL - ALL) [RDBMS]
プラットフォーム(バージョン) すべてのプラットフォーム ( - )
関連文書 92731   54775   88842   98969   94977   98027   98532   94992  
概要 [CPUApr2005] Critical Patch Update - April 2005
内容:
「Critical Patch Update - April 2005」

[概要]
  Critical Patch Update は複数のセキュリティの脆弱性のためのパッチをまとめたもの
です。また、これらのセキュリティに関する修正に対して相互依存のために必要となった
非セキュリティの修正も含まれます。
Critical Patch Update では、Oracle Database Server, Enterprise Manager, 及び 
Oracle Application Server に関するパッチは累積的なものです。各々の継続的なCritical 
Patch Updateは、以前のCritical Patch Updateの修正を含みます。


[影響を受けるサポート対象の製品]
  次のサポート対象となる製品リリースとバージョンは本 Critical Patch Update で示
されるセキュリティの脆弱性の影響を受けます。

 - Oracle Database 10g Release 1, versions 10.1.0.2, 10.1.0.3, 10.1.0.3.1, 10.1.0.4
   (10.1.0.3.1 is supported for Oracle Application Server only) 
 - Oracle9i Database Server Release 2, versions 9.2.0.5, 9.2.0.6 
 - Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5, 9.0.4 (9.0.1.5 FIPS)
   (all of which are supported for Oracle Application Server only) 
 - Oracle8i Database Server Release 3, version 8.1.7.4 
 - Oracle Application Server 10g Release 2 (10.1.2) 
 - Oracle Application Server 10g (9.0.4), versions 9.0.4.0, 9.0.4.1 
 - Oracle9i Application Server Release 2, versions 9.0.2.3, 9.0.3.1 
 - Oracle9i Application Server Release 1, version 1.0.2.2 
 - Oracle Collaboration Suite Release 2, versions 9.0.4.1, 9.0.4.2 
 - Oracle E-Business Suite and Applications Release 11i, versions 11.5.0 through 11.5.10 
 - Oracle E-Business Suite and Applications Release 11.0 
 - Oracle Enterprise Manager Grid Control 10g, versions 10.1.0.2, 10.1.0.3 
 - Oracle Enterprise Manager versions 9.0.4.0, 9.0.4.1 


[フル・サポート期間が終了した製品]
  サポート対象外の製品、リリース及びバージョンにおいては、このCritical Patch 
Update で示されるセキュリティの脆弱性に関する検証をいたしません。
データベースおよびアプリケーション・サーバーに関する不具合修正のポリシー 
(KROWN:54775)のセクション 4.3.3.3 に従い、修正も行われません。しかしながら、影響
を受けるリリースより初期のパッチセット・レベルでは、脆弱性の影響を受ける可能性が
高くなります。


[クライアント製品のみをインストールした場合]
  本Critical Patch Update で示される新たなデータベースの脆弱性は、クライアント製
品のみがインストールされた環境(データベースがインストールされていない環境)へは影
響しません。そのため、クライアント製品のみがインストールされた環境へ、すでに以前
のCritical Patch Updateが適用されている、またはSecurity Alert #68 のパッチが適用
されている場合、本パッチを適用する必要はありません。


[パッチとリスク・マトリクス]
  運用中の各々のオラクル製品について、Pre-Installation(製品毎にKROWNとして公開)
からパッチ情報及びインストール手順を確認してください。
Critical Patch Update に関連した文書(KROWN)は OiSC (OiSC:Oracle internet 
Support Center) の次のサイトに集約されます。

 - Critical Patch Update - April 2005
   (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2005.html) (2005年 4月15日公開予定)
   このサイトに「リスク・マトリクス」(PDF版)を掲載いたします。
   (注) サポート契約を締結されてない場合は、
        OTN-J(URL:http://otn.oracle.co.jp/security/index.html)
        より、「リスク・マトリクス」(PDF版)をご確認いただけます。

  [Oracle Database Server]
   - Oracle Database Server に関する脆弱性の深刻度を判断するために次のリスク・マ
     トリクスを確認します。
     ・「Critical Patch Update - April 2005 / Appendix A」(PDF)
       上記PDFからつぎの補足資料を確認します。
         Appendix A
         Oracle Database Server Risk Matrix
         Critical Patch Update - April 2005
   - CPUApr2005 のパッチ を Oracle Database Server へ適用される場合は、事前に 
     KROWN:98027 を確認します。
     ・KROWN:98027 [CPUApr2005] Oracle Database パッチ適用前の注意事項


  [Oracle Enterprise Manager Grid Control]
   - Oracle Enterprise Manager Grid Control に関する脆弱性の深刻度を判断するため
     に次のリスク・マトリクスを確認します。
     ・「Critical Patch Update ? April 2005 / Appendix E」 (PDF)
       上記PDFからつぎの補足資料を確認します。
         Appendix E
         Oracle Enterprise Manager Grid Control Risk Matrix
         Critical Patch Update - April 2005
   - CPUApr2005 のパッチ を Oracle Enterprise Manager Grid Control へ適用する場合は、
     事前に KROWN:98030 を確認します。
     ・KROWN:98030 [CPUApr2005] Oracle EM Grid Control パッチ適用前の注意事項 


  [Oracle Application Server]
   - Oracle Application Server に関する脆弱性の深刻度を判断するために次のリスク・
     マトリクスを確認します。
     ・「Critical Patch Update - April 2005 / Appendix B」(PDF)
       上記PDFからつぎの補足資料を確認します。
         Appendix B
         Oracle Application Server Risk Matrix
         Critical Patch Update - April 2005
   - CPUApr2005 のパッチ を Oracle Application Server へ適用される場合は、事前に
     KROWN:98532 を確認します。
     ・KROWN:98532 [CPUApr2005] Oracle Application Server パッチ適用前の注意事項



  [Oracle Collaboration Suite]
   - Oracle Collaboration Suite に関する脆弱性の深刻度を判断するために次のリスク・
     マトリクスを確認します。
     ・「Critical Patch Update - April 2005 / Appendix C」(PDF)
       上記PDFからつぎの補足資料を確認します。
         Appendix C
         Oracle Collaboration Suite Risk Matrix
         Critical Patch Update - April 2005
   - CPUApr2005 のパッチ を Oracle Collaboration Suite へ適用する場合は、事前に
     KROWN:98029 を確認します。 
     ・KROWN:98029 [CPUApr2005] Oracle Collaboration Suite パッチ適用前の注意事項 
 

  [Oracle E-Business and Applications]
   - Oracle E-Business and Applications に関する脆弱性の深刻度を判断するために次
     のリスク・マトリクスを確認します。
     ・「Critical Patch Update - April 2005 / Appendix D」(PDF)
      上記PDFからつぎの補足資料を確認します。
        Appendix D
        Oracle E-Business Suite Risk Matrix
        Critical Patch Update - April 2005
   - CPUApr2005 のパッチ を Oracle E-Business and Applications へ適用される場合は、
     事前に KROWN:98969 を確認します。
     ・KROWN:98969 [CPUApr2005] Oracle E-Business Suite パッチ適用前の注意事項



 [リスク・マトリクス]
   このリスク・マトリクスでは、このアドバイザリー(CPUApr2005)で示される新たな
 脆弱性だけをリストします。Critical Patch Update では、Oracle Database Server, 
 Enterprise Manager, 及び Oracle Application Server に関するパッチは累積的なもの
 です。各々の継続的なCritical Patch Updateは、以前のCritical Patch Updateのすべ
 ての修正を含みます。以前のCritical Patch Update に対するリスク・マトリクスは、
 対象となるアドバイザリー(サイト)から確認できます。例えば Critical Patch Update 
 January 2005 については、以下のページから、リスク・マトリクスの確認が可能です。
 
 ・「Critical Patch Update - January 2005」のサイト
    http://support.oracle.co.jp/patchinfo/CPU/CPUJan2005.html

    E-Business Suite のパッチは累積的ではありませんので、E-Business Suiteのユー
  ザーは、自らが適用することを望む以前の修正を確認するために、以前のCritical Patch
  Update を照会しなければなりません。
    Collaboration Suite のパッチは累積的ではありませんので、Collaboration Suiteの
  ユーザーは、自らが適用することを望む以前の修正を確認するために、以前のCritical
   Patch Update を照会しなければなりません。


 [1つの脆弱性が複数のリスク・マトリクスで報告された場合]
   本Critical Patch Update で報告されたいくつかの脆弱性は、Database Server と
 Application Server 製品の双方で報告されています。リスク・マトリクスでは、双方
 のリスク・マトリクスから同じ Vuln # を指定することでその脆弱性が共通であること
 を示します。


 [リスク・マトリクスの定義]
   リスク・マトリクスで使用される用語は、KROWN:94992 を参照ください。
   ・KROWN:94992 [CPU] Risk Matrix(リスク・マトリクス)用語解説


 [リスク分析と複合的な攻撃について]
   オラクルは脆弱性の危険性とその影響度について、各々の潜在的な脆弱性について
 別々に分析しました。オラクルは可能性や複合的な攻撃に対してはその分析を行いま
 せん。 例えば、一回の攻撃においてそれらが組み合わされた場合などが該当します。


[Critical Patch UpdateとSecurity Alerts(セキュリティ・アラート)で提供される情
報の方針声明]
  オラクルは、Critical Patch Update(CPU)またはSecurity Alerts(セキュリティ・
アラート)によって取り組まれる各々のセキュリティ脆弱性の分析を行います。
セキュリティの分析結果は、CPUまたはセキュリティ・アラートの深刻度へ反映され、
関連するドキュメントへ記載されます。
たとえば、脆弱性のタイプ、脆弱性を利用するのに必要となる条件と脆弱性が利用された
場合の影響についての記載を提供します。この情報をもとに、お客様の使用製品や環境に
応じたリスク分析を実施することが可能です。
  オラクルの方針として、CPUまたはセキュリティ・アラート、パッチ適用前の注意事項、
READMEファイルとFAQで提供される情報以外には、オラクルは脆弱性の詳細に関する付加
的な情報を提供いたしません。オラクルは、個々のお客様にCPUまたはセキュリティ・ア
ラート等の事前の通知、または「インサイダー情報」を提供いたしません。
また、オラクルは製品の脆弱性に関連する脆弱性実証コード(Proof-of-Concept code)の
開発・提供も行っておりません。


[延長メンテナンス・サポートを締結されたお客様へのCritical Patch Updateの有効性]
  延長メンテナンス・サポートを締結された顧客はCritical Patch Updateを利用いただ
けます。OiSCの「製品ライフサイクル」では「サービスレベルアナウンス」として、延長
メンテナンス・サポートが特定のリリースとプラットホーム(EMSが利用できる特定の期
間だけでなく)に利用できるかどうかを確認いただけます。
  アシスタンス・サポート(ES:Extended Support)製品のための有効なライセンスを持つ
お客様は、既存の修正モジュールを入手する権利があります。しかし、パッチの使用に起
因して発生する新たな問題は、アシスタンス・サポート(ES)では対処されません。
したがって、アシスタンス・サポート(ES)のお客様は、パッチの適用を取り消すことも視
野に入れた、パッチ適用計画を立案していただく必要があります。
  オラクルは延長メンテナンス・サポート(EMS)の対象とならない製品バージョンへは
Critical Patch Update を提供いたしません。
オラクルは、お客様がCritical Patch Update が提供される最新のサポート対象バージョ
ンへオラクル製品をアップグレードされることを強く推奨いたします。


[参照情報]
 -「Critical Patch Update - April 2005 / Appendix」(PDF)
   本KROWN内で引用されたこの PDF ファイルは「Critical Patch Update - April 2005」
   のページで確認が可能 (URL:http://support.oracle.co.jp/patchinfo/CPU/CPUApr2005.html)
 - KROWN:92731 「Critical Patch Update」に関する一般的なFAQ 
 - KROWN:54775  データベースおよびアプリケーション・サーバーに関する不具合修正
                のポリシー
 - KROWN:88842  #68 : Oracle Server製品に関するセキュリティの脆弱性
 - KROWN:94992 「Risk Matrix(リスク・マトリクス)用語解説書」

 - 「テクニカル・サポート・ポリシー」 (URL : http://www.oracle.com/lang/jp/support/policies.html)
    このページへはつぎのリンクをたどることで参照が可能です。
    1. http://www.oracle.com/jp のトップ・ページを開く
    2. 上段にある「サポート」のアンカーをクリック 
       (Oracle Japan / Oracle Support Servicesのページが開きます)
    3. 「Oracle Support Services」のページの左にあるリストから「テクニカル・
        サポート・ポリシー」のアンカーをクリック


[謝辞]
  このCritical Patch Updateに含まれる脆弱性は、下記の方々により発見・報告されま
した。
 - Esteban Martinez Fayo of Application Security, Inc.
 - Stephen Kost of Integrigy
 - David Litchfield of NGSS Limited.
   (敬称略)


[原典]
  本KROWNは、MetaLink(http://metalink.oracle.com/)掲載の以下の文書を翻訳したもの
です。

 - MetaLink Document ID 301040.1
  「Critical Patch Update - April 2005」 
   2005年 4月12日 Initial release, version 1 

  (訳注)
  本文書内で使用される用語につきましては、弊社ホームページの「テクニカル・サポー
ト・ポリシー」のページをご確認ください。(http://www.oracle.com/lang/jp/support/policies.html)

  本文書内で使用いたします以下の用語が説明されております。
  - サポート・サービス・レベル
  - フル・サポート(ECS:Error Correction Support)
  - アシスタンス・サポート(ES:Extended Support)
  - 延長メンテナンス・サポート(EMS:Extended Maintenance Support)

  本文書内では特に明記されない限りつぎの解釈となります。
  - 単独で「サポート」と表記される場合は、上記「フル・サポート」を意味します。
  - 「サポート期間」と表記される場合は、上記「フル・サポート」が有効な期間を
     意味します。
  - 延長メンテナンス・サポート契約をご締結のお客様は、ご契約対象の弊社製品・リ
    リースにつきまして上記「フル・サポート」に準じます。この場合も含んで単に
    「サポート期間」と記述されていることがあります。


[更新履歴]
2008/05/16 日本オラクルホームページURLを変更
2005/05/17 誤字を訂正
2005/05/03 誤字を訂正
2005/04/20 Oracle Enterprise Manager Grid Control のKROWN情報を更新
           Oracle Collaboration Suite のKROWN情報を更新
2005/04/15 本文書を公開