Oracle Critical Patch Update Advisory - April 2015

概要

Critical Patch Update（CPU）はセキュリティ脆弱性のための複数のパッチをまとめたものです。 Critical Patch Updateは通常は累積的なパッチですが、各回のアドバイザリでは、前のCritical Patch Updateアドバイザリ以降新たに追加されたセキュリティ修正のみが案内されています。そのため、過去のセキュリティ修正の情報については、これまでにリリースされたCritical Patch Updateアドバイザリを確認する必要があります。以前のCritical Patch Updateアドバイザリは、以下のURLから参照いただけます。

Critical Patch Updates and Security Alerts（日本語翻訳ページ）

オラクル社は、すでに修正を提供済みである脆弱性を突いた、悪意ある攻撃に関する報告を周期的に受け取り続けています。いくつかの例では、利用可能なオラクルのパッチの適用を怠っていたため、悪意ある攻撃者が成功をしたと報告されています。そのため、オラクル社は、メンテナンス中のバージョンで運用し、滞りなくCritical Patch Updateの修正を適用する事を強く推奨します。

本Critical Patch Updateでは、以下に記載の全ての製品を通じて９８の新たなセキュリティ修正が含まれています。本Critical Patch Updateの内容および他のOracle Softwareの安全性保証のアクティビティを要約したブログは、The Oracle Software Security Assurance Blogよりご覧ください。

Critical Patch Updateアドバイザリは、Common Vulnerability Reporting Format (CVRF) version 1.1のXMLフォーマットで参照することもできます。 CVRFの詳細はhttp://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF をご参照ください。

影響を受ける製品及びコンポーネント

本Critical Patch Updateで対応がなされているセキュリティ脆弱性は、下記のカテゴリーで案内された製品に影響を及ぼします。記載されたバージョン用のパッチの製品エリアは、Products and Versionsカラムに対応するPatch Availabilityカラムに示されています。パッチに関する文書は、下記のPatch Availabilityカラムか、Patch Availability Tableのリンクをクリックしてご参照ください。

Oracle Lifetime Support Policy（日本語翻訳ページ）における Premier Support または Extended Support 期間中で、影響を受ける製品とそのバージョン：

Patch Availability Tableとリスク・マトリクス

Patch Availability Table

お客様が管理されている各オラクル製品について、以下に記載の表からパッチの提供状況及び適用手順を確認して下さい。本Critical Patch Updateに関する文書の概要は、Oracle Critical Patch Update April 2015 Documentation Map, My Oracle Support Note 1962872.1をご参照ください。

リスク・マトリクス

リスク・マトリクスでは、本アドバイザリで示される新たな脆弱性のみをご案内しています。以前のセキュリティ修正に対するリスク・マトリクスは、Critical Patch Update advisories（日本語翻訳ページ）から参照いただけます。文章形式のリスク・マトリクス(英語)はText Form of Oracle Critical Patch Updateから参照いただけます。

本Critical Patch Updateで案内された脆弱性の幾つかは、複数の製品へ影響を及ぼします。各脆弱性は、固有のCVE#で識別されています。複数の製品に影響を及ぼす同一の脆弱性は、全リスク･マトリクス内で同じCVE#で表現されています。 イタリック体で表記されたCVE#は、この脆弱性は異なる製品に影響を及ぼす事が示されており、イタリック体のCVE#がリストされている製品にも影響があります。

セキュリティに関する脆弱性は、CVSS version 2.0を用いて評価されています（オラクル社のCVSS 2.0の適用についてはOracle CVSS Scoringをご参照ください）。オラクル社は、Critical Patch Update（CPU）によって案内されるそれぞれのセキュリティ脆弱性の分析を行います。オラクル社は、その分析結果の全てを公表しませんが、結果をまとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用するために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。オラクル社はこのようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態に基づいてリスク分析を行って下さい。詳細は、Oracle Security Vulnerability Disclosure Policies（日本語翻訳ページ）をご参照ください。

リスク・マトリクスに記載されるプロトコルは、もしセキュリティ形態を持つものがある場合は、そのプロトコルも影響される事を示しています。たとえば、HTTPが影響を受けるプロトコルに記載されている場合、（使用可能であれば）HTTPSも同様に影響を受けることを示しています。セキュリティ形態のみが影響を受ける場合には、そのプロトコルのセキュリティ形態がリスク・マトリクスに記載されます。例えば、HTTPSはSSL/TLSにおける脆弱性のために記載されます。

回避策

攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早くCPUの修正を適用されることを強く推奨します。お客様の環境によっては、攻撃のために必要となるネットワーク・プロトコルを制限することで、攻撃が成功する危険性を軽減できる可能性があります。ある特定の権限、または、ある特定のパッケージへのアクセスを必要とする攻撃に対し、その権限を必要としないユーザーから権限またはパッケージへのアクセスを削除することで、攻撃が成功する恐れを低減できる可能性があります。これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を非プロダクション・システム（本番環境ではない環境）でテストされることを強く推奨します。いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な解決策として見なすべきではありません。

Critical Patch Updateの省略

オラクル社はセキュリティ修正をできるだけ早く適用する事を強く推奨しています。１つまたはそれ以上のCritical Patch Updateの適用を行っておらず、今回のCPUでセキュリティ修正のアナウンスが無かった製品について確認をする場合は、以前のCritical Patch Update advisories（日本語翻訳ページ）をご確認ください。

製品の依存関係

オラクル製品は、他のオラクル製品と依存関係にある場合があります。今回のCritical Patch Updateで公開されたセキュリティ脆弱性の修正は、依存関係にある製品に影響を及ぼす場合があります。依存関係に関する詳細および依存関係のある製品のパッチ適用については、Patch Set Update and Critical Patch Update April 2015 Availability Document, My Oracle Support Note 1967243.1をご覧ください。

Critical Patch Updateを提供する製品とバージョン

Critical Patch Updateプログラムにより提供されるパッチは、Lifetime Support Policy（日本語翻訳ページ）におけるPremier SupportまたはExtended Support期間にある製品バージョンに対して提供されます。オラクル社は、Critical Patch Updateプログラムにより提供されるパッチを、確実に入手可能な製品バージョンへのアップグレードを計画されることを推奨します。

Premier SupportまたはExtended Support期間では無い製品リリースでは、本Critical Patch Updateで示されるセキュリティ脆弱性に関する検証を実施しておりません。しかしながら、影響を受けるリリースの、より初期(earlier)のバージョンでは、これらの脆弱性の影響を受ける恐れがあります。そのため、サポート中のバージョンへのアップグレードをお勧め致します。

Database、Fusion Middleware、Oracle Enterprise Manager Base Platform（旧"Oracle Enterprise Manager Grid Control"）およびCollaboration Suiteでは、Software Error Correction Support Policy, My Oracle Support Note 209768.1（日本語翻訳文書）に従ってパッチが提供されます。また、各サポートフェーズやサポート方針については、Technical Support Policies（日本語翻訳ページ）をご確認下さい。

Extended Support期間の製品

Critical Patch Updateプログラムにより提供されるパッチは、Oracle Lifetime Support Policy（日本語翻訳ページ）におけるExtended Supportをご購入されたお客様にのみ提供されます。有効なExtended Supportのご契約をお持ちでない限り、Extended Support期間の製品のCritical Patch Updateプログラムにより提供されるパッチをダウンロードいただくことはできません。

謝辞

本Critical Patch Updateに含まれる脆弱性は、次の方々により発見・報告されました(敬称略)。
an Anonymous Reporter working at HTL Leonding; Brandon Vincent; Christopher E. Walter; Daniel Ekberg of Swedish Public Employment Service; David Litchfield of Datacom TSS; Dmitry Janushkevich of Secunia Research; Florian Weimer of Red Hat; Francis Provencher of Protek Research Lab; Jihui Lu of KeenTeam; Lupin LanYuShi; Mark Litchfield of Securatary; Markus Millbourn of Digifort; Martin Carpenter of Citco; Mateusz Jurczyk of Google Project Zero; Michael Miller of Integrigy; Moshe Zioni of Comsec Consulting; Ofer Maor formerly of Hacktics; Paul M. Wright; Robbe De Keyzer of The Security Factory; Roberto Soares of Conviso Application Security; Sajith Shetty; Sasha Raljic; Shai Rod of Avnet Information Security; Steven Seeley of HP's Zero Day Initiative; Tudor Enache of Help AG; Vishal V. Sonar of Control Case International Pvt Ltd.; and Wouter Coekaerts.

Security-In-Depth Contributors

オラクル社は、弊社のSecurity-In-Depthプログラム（FAQ）に貢献して下さった方々に謝意を表明します。このSecurity-In-Depthプログラムとは、Critical Patch Updateでの対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。

本Critical Patch Updateアドバイザリでは、オラクル社は、次の方々のSecurity-In-Depthプログラムへの貢献に謝意を表明します(敬称略)。
Cihan Öncü of Biznet Bilisim A.S.; David Litchfield of Datacom TSS; Jürgen Dietz of WITRON Logistik + Informatik GmbH; M.Asim Shahzad; Matt Elder of Qualcomm Inc; Melih Berk Eksioglu of Biznet Bilisim A.S.; Tom Maddock of Qualcomm Inc; Tom Spencer of Qualcomm Inc; and Wish Wu of Trend Micro

On-Line Presence Security Contributors

オラクル社は、弊社のOn-Line Presence Securityプログラム（FAQ）に貢献して下さった方々に謝意を表明します。このOn-Line Presence Securityプログラムとは、Oracleの外部向けオンライン・システムの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。

この四半期では、オラクル社は、次の方々のOn-Line Presence Securityプログラムへの貢献に謝意を表明します(敬称略)。
Ameer Assadi; Babar Khan Akhunzada; Barak Tawily of AppSec Labs; Christian Galeone; Danijel Maksimovic; Dvir Levi; Evan Ricafort of Evan Security Research; Mohamed Niyaz; Mohammed khalid Almouty; Nasrul Abrori; Nenad Borovcanin; Nicolas Francois; Noah Wilcox of Redesign; Pulkit Pandey; and Rodolfo Godalle Jr.

Critical Patch Updateのスケジュール

Critical Patch Updateは、１月、４月、７月、１０月の１７日に最も近い火曜日に公開されます。今後４回のCPUの予定です（米国時間におけるOracle Technology Networkへの公開）。

• 2015年7月14日
• 2015年10月20日
• 2016年1月19日
• 2016年4月19日

参照情報

• Oracle Critical Patch Updates and Security Alerts main page  [ Oracle Technology Network ]（日本語翻訳ページ）
• Critical Patch Update - April 2015 Documentation Map   [ My Oracle Support Note 1962872.1 ]
• Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions [ CPU FAQ ]  
• Risk Matrix definitions   [ Risk Matrix Definitions ]（日本語翻訳文書）
• Use of Common Vulnerability Scoring System (CVSS) by Oracle   [ Oracle CVSS Scoring ]
• English text version of the risk matrices   [ Oracle Technology Network ]
• CVRF XML version of the risk matrices   [ Oracle Technology Network ]
• The Oracle Software Security Assurance Blog   [ The Oracle Software Security Assurance Blog ]
• List of public vulnerabilities fixed in Critical Patch Updates and Security Alerts   [ Oracle Technology Network ]
• Software Error Correction Support Policy   [ My Oracle Support Note 209768.1 ]（日本語翻訳文書）

参考情報

• BEA Security Advisories Archive Page  [ Oracle Technology Network ]（日本語翻訳ページ）
• Oracle Technical Support Policies  [ Oracle.com ]（日本語翻訳ページ）
• Oracle Lifetime Support Policies  [ Oracle.com ]（日本語翻訳ページ）

原典

• Oracle Critical Patch Update Advisory - April 2015  [ Oracle Technology Network ]

修正履歴