Oracleがクリティカルパッチアップデート公開、433件の脆弱性を修正
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月19日、「2023年4月Oracle製品のクリティカルパッチアップデートに関する注意喚起」において、Oracleが自社の製品群に対して2023年4月のクリティカルパッチアップデートをリリースしたとして、注意喚起を行った。
クリティカルパッチアップデートは同社が四半期に1度提供している複数の脆弱性に対するパッチのコレクションで、前回のクリティカルパッチアップデート以降に提供された累積的なセキュリティパッチとなる。2023年4月のリリースでは、製品ファミリー全体で延べ433件の脆弱性に対する修正が行われている。
修正された脆弱性の情報をはじめとするアップデートの内容は、次のセキュリティアドバイザリにまとめられている。
Oracle Critical Patch Update Advisory - April 2023
セキュリティパッチの対象となる製品およびバージョンはかなり多岐にわたる。使用している製品が含まれているかどうか、上記のセキュリティアドバイザリで確認することが望まれる。Oracle Database Server、Oracle Java SE、Oracle Solaris、Oracle MySQLなどといった主要製品も含まれているため注意が必要。
上記のうち、Java SEに関しては攻撃された場合の影響が大きいとして、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)からも下記の注意喚起が行われている。
Oracle Java の脆弱性対策について(CVE-2023-21930等);IPA 独立行政法人 情報処理推進機構
JPCERT/CCは、Oracleが提供する情報を確認した上で、必要に応じてアップデートを適用することを推奨している。ただし、製品をアップデートした場合は対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があるため、利用するアプリケーションへの影響を考慮した上で更新を行うように呼びかけている。
Oracleによるクリティカルパッチアップデートは毎年、1月、4月、7月、10月の第3火曜日にリリースされる。今後のアップデートは2023年7月18日、2023年10月17日、2024年1月16日、2024年4月16日にそれぞれ予定されている。
クリティカルパッチアップデートは同社が四半期に1度提供している複数の脆弱性に対するパッチのコレクションで、前回のクリティカルパッチアップデート以降に提供された累積的なセキュリティパッチとなる。2023年4月のリリースでは、製品ファミリー全体で延べ433件の脆弱性に対する修正が行われている。
修正された脆弱性の情報をはじめとするアップデートの内容は、次のセキュリティアドバイザリにまとめられている。
Oracle Critical Patch Update Advisory - April 2023
セキュリティパッチの対象となる製品およびバージョンはかなり多岐にわたる。使用している製品が含まれているかどうか、上記のセキュリティアドバイザリで確認することが望まれる。Oracle Database Server、Oracle Java SE、Oracle Solaris、Oracle MySQLなどといった主要製品も含まれているため注意が必要。
上記のうち、Java SEに関しては攻撃された場合の影響が大きいとして、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)からも下記の注意喚起が行われている。
Oracle Java の脆弱性対策について(CVE-2023-21930等);IPA 独立行政法人 情報処理推進機構
JPCERT/CCは、Oracleが提供する情報を確認した上で、必要に応じてアップデートを適用することを推奨している。ただし、製品をアップデートした場合は対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があるため、利用するアプリケーションへの影響を考慮した上で更新を行うように呼びかけている。
Oracleによるクリティカルパッチアップデートは毎年、1月、4月、7月、10月の第3火曜日にリリースされる。今後のアップデートは2023年7月18日、2023年10月17日、2024年1月16日、2024年4月16日にそれぞれ予定されている。
