米国 Oracle は2014年最初のパッチアップデート「Critical Patch Updates(CPU)」を公開した。2014年最初の月例パッチでわずか4件のセキュリティ情報しか公開しなかった Microsoft とは対照的に、Oracle は144件もの新たな脆弱性に対応している。

Oracle、2014年最初のパッチアップデートを公開―36件の Java 脆弱性を含む、
CPU で大きな割合を占めているのは、Java に関するもの。Oracle は今回、36件の Java 脆弱性に対応した。

36件のうち、34件はリモートからユーザー認証なしで攻撃可能なものであり、これはソフトウェア脆弱性の中でも最も危険なタイプのものだ。Oracle は新たな Java 脆弱性のうち5件を、CVSS 基本値による深刻度で10と評価している。これはリモートからシステムを完全に制御され、大部分のデータを改ざんされうる「危険」なレベルの脅威を示すものだ。

Java は現在、アタッカーから最も多くの攻撃を受けているソフトウェアだ。Hewlett-Packard や Kaspersky Lab といった複数のベンダーが、2013年中に Java に対する攻撃が急増したと報告している。Kaspersky によれば、2013年3月から8月の間だけで、Java に対して854万件の攻撃があったという。

Hewlett-Packard ZDI のマネージャ Brian Gorenc 氏は、Java に対する攻撃は Oracle がすでにパッチを公開している脆弱性を狙って実施されているものが多いと述べた。この件について、Core Security の Tommy Chin 氏は eWeek に対し、次のように説明した。

「企業アプリケーションプラットフォームしての Java では、Java ソフトウェアベンダーは脆弱性の存在が知られている、古いバージョンの Java のみをサポートしていることが多い。これらのタイプのソフトウェアを使用している企業は、Java のアップデートを禁止している。アップデートすることで、Java で書かれた企業内の既存アプリケーションが動作しなくなる恐れがあるためだ」

Chin 氏は Java をアップグレードできない企業では、アクセス制御リストを監査し、外部からの Java アプリケーションへのアクセスでは VPN を通じてのみ可能にするよう規制するべきだと提案している。

Java の他、Oracle は Fusion Middleware Suite に対するアップデートも公開している。Fusion に対するパッチは合計で22件のセキュリティ脆弱性に対応している。このうち、19件はリモートからユーザー認証なしで攻撃可能なもの。だが、CVSS 基本値による深刻度が10と評価されたものは、1件だけだった。

Oracle のフラグシップ製品である Oracle Database に対するセキュリティ修正はわずかに5件。そのうち、リモートからユーザー認証なしで攻撃可能なものは1件に留まった。

Core Security の Ken Pickering 氏は eWeek に対し、利用者は Java に対するアップデートを緊急に実施するべきだが、他のパッチの適用も重要であると述べた。

「Oracle 製品は多くの場所で利用されており、多くのクリティカルなデータを格納している。これらのアプリケーションを最新のものに保つことは非常に重要だ。そのどれもが、ビジネスクリティカルなアプリケーションだからだ」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。