Oracle Critical Patch Update Advisory - January 2015
概要
Critical Patch Update(CPU)はセキュリティ脆弱性のための複数のパッチをまとめたものです。 Critical Patch Updateは通常は累積的なパッチですが、各回のアドバイザリでは、前のCritical Patch Updateアドバイザリ以降新たに追加されたセキュリティ修正のみが案内されています。そのため、過去のセキュリティ修正の情報については、これまでにリリースされたCritical Patch Updateアドバイザリを確認する必要があります。以前のCritical Patch Updateアドバイザリは、以下のURLから参照いただけます。
Critical Patch Updates and Security Alerts(日本語翻訳ページ)
オラクル社は、すでに修正を提供済みである脆弱性を突いた、悪意ある攻撃に関する特定の報告を受け取っています。いくつかの例では、これらのパッチの適用を怠っていたため、悪意ある攻撃者が成功をしたと報告されています。そのため、オラクル社は、メンテナンス中のバージョンで運用し、滞りなくCritical Patch Updateの修正を適用する事を強く推奨します。
本Critical Patch Updateでは、以下に記載の全ての製品を通じて169の新たなセキュリティ修正が含まれています。本Critical Patch Updateの内容および他のOracle Softwareの安全性保証のアクティビティを要約したブログは、The Oracle Software Security Assurance Blogよりご覧ください。
2014年10月16日に、オラクル社はCVE-2014-3566 "POODLE"の情報を公表しました。影響のあるオラクル製品をお使いのお客様は、本CPUで告知された修正に加えて、CVE-2014-3566向けに告知された修正および/または構成手順の適用を強くお勧めいたします。
Critical Patch Updateアドバイザリは、Common Vulnerability Reporting Format (CVRF) version 1.1のXMLフォーマットで参照することもできます。 CVRFの詳細はhttp://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF をご参照ください。
影響を受ける製品及びコンポーネント
本Critical Patch Updateで対応がなされているセキュリティ脆弱性は、下記のカテゴリーで案内された製品に影響を及ぼします。記載されたバージョン用のパッチの製品エリアは、Products and Versionsカラムに対応するPatch Availabilityカラムに示されています。パッチに関する文書は、下記のPatch Availabilityカラムか、Patch Availability Tableのリンクをクリックしてご参照ください。
Oracle Lifetime Support Policy(日本語翻訳ページ)における Premier Support または Extended Support 期間中で、影響を受ける製品とそのバージョン:
| Affected Products and Versions |
Patch Availability |
| Oracle Database Server, version(s) 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2 |
Database |
| Oracle Fusion Middleware, version(s) 10.1.3.5, 11.1.1.7, 11.1.2.1, 11.1.2.2, 12.1.2, 12.1.3 |
Fusion Middleware |
| Oracle Fusion Applications, versions 11.1.2 through 11.1.9 |
Fusion Applications |
| Oracle Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2 |
Fusion Middleware |
| Oracle Adaptive Access Manager, version(s) 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2 |
Fusion Middleware |
| Oracle BI Publisher, version(s) 10.1.3.4.2, 11.1.1.7 |
Fusion Middleware |
| Oracle Business Intelligence Enterprise Edition, version(s) 10.1.3.4.2, 11.1.1.7 |
Fusion Middleware |
| Oracle Containers for J2EE, version(s) 10.1.3.5 |
Fusion Middleware |
| Oracle Directory Server Enterprise Edition, version(s) 7.0, 11.1.1.7 |
Fusion Middleware |
| Oracle Exalogic Infrastructure, version(s) 2.0.6.2.0 (for all X2-2, X3-2, X4-2) |
Fusion Middleware |
| Oracle Forms, version(s) 11.1.1.7, 11.1.2.1, 11.1.2.2 |
Fusion Middleware |
| Oracle GlassFish Server, version(s) 3.0.1, 3.1.2 |
Fusion Middleware |
| Oracle HTTP Server, version(s) 10.1.3.5.0, 11.1.1.7.0, 12.1.2.0, 12.1.3.0 |
Fusion Middleware |
| Oracle OpenSSO, version(s) 8.0 Update 2 Patch 5 |
Fusion Middleware |
| Oracle Real-Time Decision Server, version(s) 11.1.1.7, RTD Platform 3.0.x |
Fusion Middleware |
| Oracle Reports Developer, version(s) 11.1.1.7, 11.1.2.2 |
Fusion Middleware |
| Oracle SOA Suite, version(s) 11.1.1.7, 12.1.3.0 |
Fusion Middleware |
| Oracle Waveset, version(s) 8.1.1 |
Fusion Middleware |
| Oracle WebCenter Content, version(s) 11.1.1.8.0 |
Fusion Middleware |
| Oracle WebLogic Portal, version(s) 10.0.1.0, 10.2.1.0, 10.3.6.0 |
Fusion Middleware |
| Oracle WebLogic Server, version(s) 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0, 12.1.3.0 |
Fusion Middleware |
| Enterprise Manager Base Platform, version(s) 12.1.0.3, 12.1.0.4 |
Enterprise Manager |
| Enterprise Manager Ops Center, version(s) 11.1, 11.1.3, 12.1, 12.1.4, 12.2 |
Enterprise Manager |
| Oracle E-Business Suite, version(s) 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4 |
E-Business Suite |
| Oracle Agile PLM, version(s) 9.3.3 |
Oracle Supply Chain |
| Oracle Agile PLM for Process, version(s) 6.1.0.3 |
Oracle Supply Chain |
| Oracle Transportation Management, version(s) 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5 |
Oracle Supply Chain |
| PeopleSoft Enterprise HRMS, version(s) 9.1 |
PeopleSoft |
| PeopleSoft Enterprise PeopleTools, version(s) 8.52, 8.53, 8.54 |
PeopleSoft |
| JD Edwards EnterpriseOne Tools, version(s) 9.1.5 |
JD Edwards |
| Oracle Enterprise Asset Management, version(s) 8.1.1, 8.2.2 |
Siebel |
| Siebel Applications, version(s) 8.1.1, 8.2.2 |
Siebel |
| Oracle iLearning, version(s) 6.0, 6.1 |
iLearning |
| Oracle Communications Diameter Signaling Router, version(s) 3.x, 4.x, 5.0 |
Communications |
| Oracle Communications Messaging Server, version(s) 7.0.5.33.0 and prior |
Communications |
| Oracle MICROS Retail, version(s) Xstore: 3.2.1, 3.4.2, 3.5.0, 4.0.1, 4.5.1, 4.8.0, 5.0.3, 5.5.3, 6.0.6, 6.5.2 |
Retail |
| Oracle Healthcare Master Person Index, version(s) 1.x, 2.x |
Health Sciences |
| Oracle Java SE, version(s) 5.0u75, 6u85, 7u72, 8u25 |
Oracle Java SE |
| Oracle Java SE Embedded, version(s) 7u71, 8u6 |
Oracle Java SE |
| Oracle JRockit, version(s) R27.8.4, R28.3.4 |
Oracle Java SE |
| Fujitsu M10-1, M10-4, M10-4S Servers, version(s) prior to XCP 2240 |
Oracle and Sun Systems Products Suite |
| Integrated Lights Out Manager(ILOM), version(s) prior to 3.2.4 |
Oracle and Sun Systems Products Suite |
| Solaris, version(s) 10, 11 |
Oracle and Sun Systems Products Suite |
| Solaris Cluster, version(s) 3.3, 4.1 |
Oracle and Sun Systems Products Suite |
| SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, version(s) before XCP 1119 |
Oracle and Sun Systems Products Suite |
| Oracle Secure Global Desktop, version(s) 4.63, 4.71, 5.0, 5.1 |
Oracle Linux and Virtualization |
| Oracle VM VirtualBox, version(s) prior to 3.2.26, 4.0.28, 4.1.36, 4.2.28, 4.3.20 |
Oracle Linux and Virtualization |
| MySQL Server, version(s) 5.5.40 and prior, 5.6.21 and prior |
Oracle MySQL Product Suite |
Patch Availability Tableとリスク・マトリクス
Patch Availability Table
お客様が管理されている各オラクル製品について、以下に記載の表からパッチの提供状況及び適用手順を確認して下さい。本Critical Patch Updateに関する文書の概要は、Oracle Critical Patch Update January 2015 Documentation Map, My Oracle Support Note 1935468.1をご参照ください。
| Product Group |
Risk Matrix |
Patch Availability and Installation Information |
| Oracle Database |
Oracle Database Risk Matrix |
Patch Set Update and Critical Patch Update January 2015 Availability Document, My Oracle Support Note 1942215.1 |
| Oracle Fusion Middleware |
Oracle Fusion Middleware Risk Matrix |
Patch Set Update and Critical Patch Update January 2015 Availability Document, My Oracle Support Note 1942215.1 |
| Oracle Fusion Applications |
Oracle Database Risk Matrix and Oracle Fusion Middleware Risk Matrix |
Oracle DatabaseとOracle Fusion Middlewareに影響する脆弱性は、Oracle Fusion Applicationsに影響する可能性があるため、Oracle Fusion Applications Critical Patch Update Knowledge Document (January 2015), My Oracle Support Note 1955858.1を参照し、Fusion Applicationの環境に適用すべきパッチの情報を確認してください。 |
| Oracle Enterprise Manager |
Oracle Enterprise Manage Risk Matrix |
Patch Set Update and Critical Patch Update January 2015 Availability Document, My Oracle Support Note 1942215.1 |
| Oracle Applications - E-Business Suite |
Oracle E-Business Suite Risk Matrix |
Oracle E-Business Suite Releases 11i and 12 Critical Patch Update Knowledge Document (January 2015), My Oracle Support Note 1954250.1 |
| Oracle Applications - Oracle Supply Chain, PeopleSoft Enterprise, JD Edwards Product Suite, Siebel and iLearning |
Oracle Supply Chain Risk Matrix
Oracle PeopleSoft Enterprise Risk Matrix
Oracle JD Edwards Risk Matrix
Oracle Siebel Risk Matrix
Oracle iLearning Risk Matrix |
Critical Patch Update Knowledge Document for PeopleSoft Enterprise, JD Edwards Enterprise, Siebel Core, Oracle iLearning and Supply Chain Suite Products - JANUARY 2015, My Oracle Support Note 1955920.1 |
| Oracle Communications Industry Suite |
Oracle Communications Applications Risk Matrix |
Critical Patch Update January 2015 Patch Availability Document for Oracle Communications, My Oracle Support Note 1958369.1 |
| Oracle Retail Industry Suite |
Oracle Retail Applications Risk Matrix |
Oracle Retail Critical Patch Update January 2015, My Oracle Support Note 1955864.1 |
| Oracle Health Sciences Industry Suite |
Oracle Health Sciences Applications Risk Matrix |
Oracle Health Sciences Applications Critical Patch Update January 2015, My Oracle Support Note 1958531.1 |
| Oracle Java SE |
Oracle SE Risk Matrix |
- Critical Patch Update January 2015 Patch Availability Document for Java SE, My Oracle Support Note 1948935.1
- ブラウザでJava SEをお使いのお客様は、java.comより最新のリリースをダウンロードできます。WindowsとMac OS Xのお客様は、自動更新で最新のリリースを入手することもできます。
- 最新リリースのJavaFXは、JDK/JRE 7, 8の最新の更新に含まれています。
|
| Oracle and Sun Systems Products Suite |
Oracle and Sun Systems Products Suite Risk Matrix |
Critical Patch Update January 2015 Patch Delivery Document for Oracle and Sun Systems Product Suite, My Oracle Support Note 1956176.1 |
| Oracle Linux and Virtualization Products |
Oracle Linux and Virtualization Products Risk Matrix |
Critical Patch Update January 2015 Patch Availability Document for Oracle Linux and Virtualization, My Oracle Support Note 1955899.1 |
| Oracle MySQL |
Oracle MySQL Risk Matrix |
Critical Patch Update January 2015 Patch Availability Document for Oracle MySQL Products, My Oracle Support Note 1956125.1 |
リスク・マトリクス
リスク・マトリクスでは、本アドバイザリで示される新たな脆弱性のみをご案内しています。以前のセキュリティ修正に対するリスク・マトリクスは、Critical Patch Update advisories(日本語翻訳ページ)から参照いただけます。文章形式のリスク・マトリクス(英語)はText Form of Oracle Critical Patch Updateから参照いただけます。
本Critical Patch Updateで案内された脆弱性の幾つかは、複数の製品へ影響を及ぼします。各脆弱性は、固有のCVE#で識別されています。複数の製品に影響を及ぼす同一の脆弱性は、全リスク・マトリクス内で同じCVE#で表現されています。 イタリック体で表記されたCVE#は、この脆弱性は異なる製品に影響を及ぼす事が示されており、イタリック体のCVE#がリストされている製品にも影響があります。
セキュリティに関する脆弱性は、CVSS version 2.0を用いて評価されています(オラクル社のCVSS 2.0の適用についてはOracle CVSS Scoringをご参照ください)。オラクル社は、Critical Patch Update(CPU)によって案内されるそれぞれのセキュリティ脆弱性の分析を行います。オラクル社は、その分析結果の全てを公表しませんが、結果をまとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用するために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。オラクル社はこのようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態に基づいてリスク分析を行って下さい。詳細は、Oracle Security Vulnerability Disclosure Policiesをご参照ください。
リスク・マトリクスに記載されるプロトコルは、もしセキュリティ形態を持つものがある場合は、そのプロトコルも影響される事を示しています。たとえば、HTTPが影響を受けるプロトコルに記載されている場合、(使用可能であれば)HTTPSも同様に影響を受けることを示しています。セキュリティ形態のみが影響を受ける場合には、そのプロトコルのセキュリティ形態がリスク・マトリクスに記載されます。例えば、HTTPSはSSL/TLSにおける脆弱性のために記載されます。
回避策
攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早くCPUの修正を適用されることを強く推奨します。お客様の環境によっては、攻撃のために必要となるネットワーク・プロトコルを制限することで、攻撃が成功する危険性を軽減できる可能性があります。ある特定の権限、または、ある特定のパッケージへのアクセスを必要とする攻撃に対し、その権限を必要としないユーザーから権限またはパッケージへのアクセスを削除することで、攻撃が成功する恐れを低減できる可能性があります。これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を非プロダクション・システム(本番環境ではない環境)でテストされることを強く推奨します。いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な解決策として見なすべきではありません。
Critical Patch Updateの省略
オラクル社はセキュリティ修正をできるだけ早く適用する事を強く推奨しています。1つまたはそれ以上のCritical Patch Updateの適用を行っておらず、今回のCPUでセキュリティ修正のアナウンスが無かった製品について確認をする場合は、以前のCritical Patch Update advisories(日本語翻訳ページ)をご確認ください。
製品の依存関係
オラクル製品は、他のオラクル製品と依存関係にある場合があります。今回のCritical Patch Updateで公開されたセキュリティ脆弱性の修正は、依存関係にある製品に影響を及ぼす場合があります。依存関係に関する詳細および依存関係のある製品のパッチ適用については、Patch Set Update and Critical Patch Update January 2015 Availability Document, My Oracle Support Note 1942215.1をご覧ください。
Critical Patch Updateを提供する製品とバージョン
Critical Patch Updateプログラムにより提供されるパッチは、Lifetime Support Policy(日本語翻訳ページ)におけるPremier SupportまたはExtended Support期間にある製品バージョンに対して提供されます。オラクル社は、Critical Patch Updateプログラムにより提供されるパッチを、確実に入手可能な製品バージョンへのアップグレードを計画されることを推奨します。
Premier SupportまたはExtended Support期間では無い製品リリースでは、本Critical Patch Updateで示されるセキュリティ脆弱性に関する検証を実施しておりません。しかしながら、影響を受けるリリースの、より初期(earlier)のバージョンでは、これらの脆弱性の影響を受ける恐れがあります。そのため、サポート中のバージョンへのアップグレードをお勧め致します。
Database、Fusion Middleware、Oracle Enterprise Manager Base Platform(旧"Oracle Enterprise Manager Grid Control")およびCollaboration Suiteでは、Software Error Correction Support Policy, My Oracle Support Note 209768.1(日本語翻訳文書)に従ってパッチが提供されます。また、各サポートフェーズやサポート方針については、Technical Support Policies(日本語翻訳ページ)をご確認下さい。
Extended Support期間の製品
Critical Patch Updateプログラムにより提供されるパッチは、Oracle Lifetime Support Policy(日本語翻訳ページ)におけるExtended Supportをご購入されたお客様にのみ提供されます。有効なExtended Supportのご契約をお持ちでない限り、Extended Support期間の製品のCritical Patch Updateプログラムにより提供されるパッチをダウンロードいただくことはできません。
謝辞
本Critical Patch Updateに含まれる脆弱性は、次の方々により発見・報告されました(敬称略)。
Adam Willard of Foreground Security; Advanced Threat Research Team, Intel Security; Alexander Chizhov; Alexey Makhmutov; Bart Kulach of NN Group N.V.; David Litchfield of Datacom TSS; Diego Matos of CIPHER Intelligence Lab; Edmund Goh of KPMG Management Consulting, Singapore; Edward Torkington of NCC Group; Frank Cozijnsen of KPN; Gabor Pesti; George Nosenko of Digital Security Research Group; Joeri de Ruiter of Radboud University Nijmegen; Karthikeyan Bhargavan; Khai Tran of Netspi; Khalifa Al Shamsi of Help AG; Nicolas Ruff of the Google Security Team; Oliver Gruskovnjak of Portcullis Inc; Red Hat Product Security; Tor Erling Bjorstad of Mnemonic AS; Tudor Enache of Help AG; Vivek Singh of FINRA; and Wouter Coekaerts.
Security-In-Depth Contributors
オラクル社は、弊社のSecurity-In-Depthプログラム(FAQ)に貢献して下さった方々に謝意を表明します。このSecurity-In-Depthプログラムとは、Critical Patch Updateでの対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
本Critical Patch Updateでは、オラクル社は、次の方々に特別の謝意を表明します(敬称略)。
Alexander Kornbrust of Red Database Security; Bruce Robb of J&B Computing Services; and Yasumasa Suenaga.
On-Line Presence Security Contributors
オラクル社は、弊社のOn-Line Presence Securityプログラム(FAQ)に貢献して下さった方々に謝意を表明します。このOn-Line Presence Securityプログラムとは、Oracleの外部向けオンライン・システムの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
この四半期では、オラクル社は、次の方々に特別の謝意を表明します(敬称略)。
Abdullah Erdem; Adam Willard of Foreground Security; Amir Sohail; Arjun V; Avik Sarkar; Ayoub Nait Lamine; Ben Khlifa Fahmi; Cameron Crowley; Christian Galeone; Gaurav Mishra; Gopal Bisht; Gurjant Singh Sadhra; Karthik E C; Koutrouss Naddara; M.Asim Shahzad; Mohammed Osman; Monendra Sahu; Mousab Elhag; Muhammad Sarmad Shafiq; Rakesh Singh of Zero Day Guys; Sandeep Venkatesan; Sky_BlaCk; Sreehari; Srikanth Y; and Yann CAM.
Critical Patch Updateのスケジュール
Critical Patch Updateは、1月、4月、7月、10月の17日に最も近い火曜日に公開されます。今後4回のCPUの予定です(米国時間におけるOracle Technology Networkへの公開)。
- 2015年4月14日
- 2015年7月14日
- 2015年10月20日
- 2016年1月19日
参照情報
参考情報
原典
修正履歴
| 2015年1月20日 |
Rev 1. Initial Release |
|
Topics
Printer View