Oracle Critical Patch Update Advisory - July 2014
概要 Critical Patch Update(CPU)はセキュリティ脆弱性のための複数のパッチをまとめたものです。 Critical Patch Updateは通常は累積的なパッチですが、各回のアドバイザリでは、前のCritical Patch Updateアドバイザリ以降新たに追加されたセキュリティ修正のみが案内されています。 そのため、過去のセキュリティ修正の情報については、これまでにリリースされたCritical Patch Updateアドバイザリを確認する必要があります。 以前のCritical Patch Updateアドバイザリは、以下のURLから参照いただけます。 Critical Patch Updates and Security Alerts(日本語翻訳ページ) 攻撃の成功によってもたらされる危険を鑑み、オラクル社は、できるだけ早くCPUの修正を適用することを強く推奨します。 本Critical Patch Updateでは、以下に記載の全ての製品を通じて113の新たなセキュリティ修正が含まれています。 本Critical Patch Updateの内容および他のOracle Softwareの安全性保障のアクティビティを要約したブログは、The Oracle Software Security Assurance Blogよりご覧ください。 Critical Patch Updateアドバイザリは、Common Vulnerability Reporting Format (CVRF) version 1.1のXMLフォーマットで参照することもできます。 CVRFの詳細はWhat is CVRF? をご参照ください。 2014年4月18日に、オラクル社はSecurity Alert for CVE-2014-0160 OpenSSL "Heartbleed"を公開しました。 本Critical Patch UpdateはMySQL Enterprise Server 5.6に対する更新を含んでおり、この更新は脆弱性CVE-2014-0160のための修正を含んでいます。 他のオラクル製品をお使いのお客様は、Security Alert for CVE-2014-0160でアナウンスされた修正の適用を強くお勧めいたします。
影響を受ける製品及びコンポーネント 本Critical Patch Updateで対応がなされているセキュリティ脆弱性は、下記のカテゴリーで案内された製品に影響を及ぼします。 記載されたバージョン用のパッチの製品エリアは、Products and Versionsカラムに対応するPatch Availabilityカラムに示されています。 パッチに関する文書は、下記のPatch Availabilityカラムか、Patch Availability Tableのリンクをクリックしてご参照ください。 Oracle Lifetime Support Policy(日本語翻訳ページ)における Premier Support または Extended Support 期間中で、影響を受ける製品とそのバージョン: | Affected Products and Versions | Patch Availability | | Oracle Database 11g Release 1, version 11.1.0.7 | Database | | Oracle Database 11g Release 2, versions 11.2.0.3, 11.2.0.4 | Database | | Oracle Database 12c Release 1, version 12.1.0.1 | Database | | Oracle Fusion Middleware 11g Release 1, version 11.1.1.7 | Fusion Middleware | | Oracle Fusion Middleware 12c Release 1, version 12.1.2.0 | Fusion Middleware | | Oracle Fusion Applications, versions 11.1.2 through 11.1.8 | Fusion Applications | | Oracle Glassfish Server, versions 2.1.1, 3.0.1, 3.1.2 | Fusion Middleware | | Oracle Traffic Director, version 11.1.1.7.0 | Fusion Middleware | | Oracle iPlanet Web Proxy Server, version 4.0.24 | Fusion Middleware | | Oracle iPlanet Web Server, versions 6.1, 7.0 | Fusion Middleware | | Oracle WebCenter Portal, versions 11.1.1.7.0, 11.1.1.8.0 | Fusion Middleware | | Oracle WebLogic Server, versions 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0 | Fusion Middleware | | Oracle JDeveloper, versions 11.1.1.7.0, 11.1.2.4.0, 12.1.2.0.0 | Fusion Middleware | | Oracle BI Publisher, version 11.1.1.7 | Fusion Middleware | | Oracle Glassfish Communications Server, version 2.0 | Fusion Middleware | | Oracle HTTP Server, versions 11.1.1.7.0, 12.1.2.0 | Fusion Middleware | | Oracle Hyperion Essbase, versions 11.1.2.2, 11.1.2.3 | Fusion Middleware | | Oracle Hyperion BI+, versions 11.1.2.2, 11.1.2.3 | Fusion Middleware | | Oracle Hyperion Enterprise Performance Management Architect, versions 11.1.2.2, 11.1.2.3 | Fusion Middleware | | Oracle Hyperion Common Admin, versions 11.1.2.2, 11.1.2.3 | Fusion Middleware | | Oracle Hyperion Analytic Provider Services, versions 11.1.2.2, 11.1.2.3 | Fusion Middleware | | Oracle E-Business Suite Release 11i, version 11.5.10.2 | E-Business Suite | | Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.3, 12.2.2, 12.2.3 | E-Business Suite | | Oracle Transportation Management, versions 6.1, 6.2, 6.3, 6.3.1, 6.3.2, 6.3.3, 6.3.4 | Oracle Supply Chain | | Oracle Agile Product Collaboration, version 9.3.3 | Oracle Supply Chain | | Oracle PeopleSoft Enterprise ELS Enterprise Learning Management, versions 9.1, 9.2 | PeopleSoft | | Oracle PeopleSoft Enterprise PT PeopleTools, versions 8.52, 8.53 | PeopleSoft | | Oracle PeopleSoft Enterprise FIN Install, versions 9.1, 9.2 | PeopleSoft | | Oracle PeopleSoft Enterprise SCM Purchasing, versions 9.1, 9.2 | PeopleSoft | | Oracle Siebel Travel & Transportation, versions 8.1.1, 8.2.2 | Siebel | | Oracle Siebel UI Framework, versions 8.1.1, 8.2.2 | Siebel | | Oracle Siebel Core - Server OM Frwks, versions 8.1.1, 8.2.2 | Siebel | | Oracle Siebel Core - EAI, versions 8.1.1, 8.2.2 | Siebel | | Oracle Communications Messaging Server, version 7.0.5.30.0 | Oracle Communications Applications | | Oracle Retail Back Office, versions 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 | Retail | | Oracle Retail Central Office, versions 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 | Retail | | Oracle Retail Returns Management, versions 2.0, 13.1, 13.2, 13.3, 13.4, 14.0 | Retail | | Oracle Java SE, versions 5.0u65, 6u75, 7u60, 8u5 | Oracle Java SE | | Oracle JRockit, versions R27.8.2, R28.3.2 | Oracle Java SE | | Oracle Solaris, versions 8, 9, 10, 11.1 | Oracle and Sun Systems Products Suite | | Oracle Secure Global Desktop, versions 4.63, 4.71, 5.0, 5.1 | Oracle Linux and Virtualization | | Oracle VM VirtualBox, versions prior to 3.2.24, 4.0.26, 4.1.34, 4.2.26, 4.3.14 | Oracle Linux and Virtualization | | Oracle Virtual Desktop Infrastructure (VDI), versions prior to 3.5.1 | Oracle Linux and Virtualization | | Sun Ray Software, versions prior to 5.4.3 | Oracle Linux and Virtualization | | Oracle MySQL Server, versions 5.5, 5.6 | Oracle MySQL Product Suite |
Patch Availability Tableとリスク・マトリクス 累積的パッチの製品 Critical Patch UpdateではOracle Database, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite Applications, JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications, PeopleSoft Enterprise PeopleTools, Siebel Enterprise, Industry Applications, Primavera, Oracle VM向けのパッチは累積的なものです。 つまり、これらの製品向けのCritical Patch Updateは、これまでにリリースされたCritical Patch Updateに含まれる修正を全て含みます。 累積的パッチと非累積的パッチについての情報は、下記Patch Availability Tableにある各製品グループ用のパッチリリース状況ドキュメントをご確認ください。
Patch Availability Table お客様が管理されている各オラクル製品について、以下に記載の表からパッチの提供状況及び適用手順を確認して下さい。 本Critical Patch Updateに関する文書の概要は、Oracle Critical Patch Update July 2014 Documentation Map, My Oracle Support Note 1662887.1をご参照ください。 | Product Group | Risk Matrix | Patch Availability and Installation Information | | Oracle Database | Oracle Database Risk Matrix | Patch Set Update and Critical Patch Update July 2014 Availability Document, My Oracle Support Note 1666884.1 | | Oracle Fusion Middleware | Oracle Fusion Middleware Risk Matrix | Patch Set Update and Critical Patch Update July 2014 Availability Document, My Oracle Support Note 1666884.1 | | Oracle Fusion Applications | Oracle Database Risk Matrix and Oracle Fusion Middleware Risk Matrix | Oracle DatabaseとOracle Fusion Middlewareに影響する脆弱性は、Oracle Fusion Applicationsに影響する可能性があるため、Oracle Fusion Applications Critical Patch Update Knowledge Document (July 2014), My Oracle Support Note 1907352.1を参照し、Fusion Applicationの環境に適用すべきパッチの情報を確認してください。 | | Oracle Hyperion | Oracle Hyperion Risk Matrix | Patch Set Update and Critical Patch Update July 2014 Availability Document, My Oracle Support Note 1666884.1 | | Oracle E-Business Suite | Oracle E-Business Suite Risk Matrix | Critical Patch Update Knowledge Document for Oracle E-Business Suite My Oracle Support Note 1668237.1 | | Oracle Applications - PeopleSoft Enterprise, Siebel CRM, Oracle Supply Chain Product Suite | Oracle PeopleSoft Enterprise Risk Matrix
Oracle Siebel CRM Risk Matrix
Oracle Supply Chain Risk Matrix | Critical Patch Update Knowledge Document for PeopleSoft Enterprise, Siebel Core, and Oracle Supply Chain Products Suite My Oracle Support Note 1684873.1 | | Oracle Communications Applications | Oracle Communications Messaging Server Risk Matrix | Critical Patch Update Knowledge Document for Oracle Communications Messaging Server My Oracle Support Note 1906392.1 | | Oracle Retail Industry Suite | Oracle Retail Applications Risk Matrix | Critical Patch Update July 2014 Patch Delivery Document for Oracle Retail Products, My Oracle Support Note 1684864.1 | | Oracle Java SE | Oracle SE Risk Matrix | - Critical Patch Update July 2014 Patch Availability Document for Java SE, My Oracle Support Note 1900468.1
- ブラウザでJava SEをお使いのお客様は、java.comより最新のリリースをダウンロードできます。WindowsとMac OS Xのお客様は、自動更新で最新のリリースを入手することもできます。
- 最新リリースのJavaFXは、JDK/JRE 7, 8の最新の更新に含まれています。
| | Oracle and Sun Systems Products Suite | Oracle and Sun Systems Products Suite Risk Matrix | Critical Patch Update July 2014 Patch Delivery Document for Oracle and Sun Systems Product Suite, My Oracle Support Note 1900373.1 | | Oracle Linux and Virtualization Products | Oracle Linux and Virtualization Products Risk Matrix | Patch Set Update and Critical Patch Update July 2014 Availability Document, My Oracle Support Note 1684947.1 | | Oracle MySQL | Oracle MySQL Risk Matrix | Critical Patch Update July 2014 Patch Availability Document for Oracle MySQL Products, My Oracle Support Note 1684603.1 |
リスク・マトリクス リスク・マトリクスでは、本アドバイザリで示される新たな脆弱性のみをご案内しています。 以前のセキュリティ修正に対するリスク・マトリクスは、Critical Patch Update advisories(日本語翻訳ページ)から参照いただけます。 文章形式のリスク・マトリクス(英語)はText Form of Oracle Critical Patch Updateから参照いただけます。 本Critical Patch Updateで案内された脆弱性の幾つかは、複数の製品へ影響を及ぼします。 各脆弱性は、固有のCVE#で識別されています。 複数の製品に影響を及ぼす同一の脆弱性は、全リスク・マトリクス内で同じCVE#で表現されています。 イタリック体は、他の製品エリアから取り込まれたコードの脆弱性を示します。 セキュリティに関する脆弱性は、CVSS version 2.0を用いて評価されています(オラクル社のCVSS 2.0の適用についてはOracle CVSS Scoringをご参照ください)。 オラクル社は、Critical Patch Update(CPU)によって案内されるそれぞれのセキュリティ脆弱性の分析を行います。 オラクル社は、その分析結果の全てを公表しませんが、結果をまとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用するために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。 オラクル社はこのようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態に基づいてリスク分析を行って下さい。 詳細は、Oracle Security Vulnerability Disclosure Policiesをご参照ください。 リスク・マトリクスに記載されるプロトコルは、もしセキュリティ形態を持つものがある場合は、そのプロトコルも影響される事を示しています。 たとえば、HTTPが影響を受けるプロトコルに記載されている場合、(使用可能であれば)HTTPSも同様に影響を受けることを示しています。 セキュリティ形態のみが影響を受ける場合には、そのプロトコルのセキュリティ形態がリスク・マトリクスに記載されます。 例えば、HTTPSはSSL/TLSにおける脆弱性のために記載されます。
回避策 攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早くCPUの修正を適用されることを強く推奨します。 お客様の環境によっては、攻撃のために必要となるネットワーク・プロトコルを制限することで、攻撃が成功する危険性を軽減できる可能性があります。 ある特定の権限、または、ある特定のパッケージへのアクセスを必要とする攻撃に対し、その権限を必要としないユーザーから権限またはパッケージへのアクセスを削除することで、攻撃が成功する恐れを低減できる可能性があります。 これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクル社はこれらの変更を非プロダクション・システム(本番環境ではない環境)でテストされることを強く推奨します。 いずれの手法も、根本的に問題を修正することにはなりませんので、長期にわたって有効な解決策として見なすべきではありません。
Critical Patch Updateの省略 オラクル社はセキュリティ修正をできるだけ早く適用する事を強く推奨しています。 1つまたはそれ以上のCritical Patch Updateの適用を行っておらず、今回のCPUでセキュリティ修正のアナウンスが無かった製品について確認をする場合は、以前のCritical Patch Update advisories(日本語翻訳ページ)をご確認ください。
製品の依存関係 オラクル製品は、他のオラクル製品と依存関係にある場合があります。 今回のCritical Patch Updateで公開されたセキュリティ脆弱性の修正は、依存関係にある製品に影響を及ぼす場合があります。 依存関係に関する詳細および依存関係のある製品のパッチ適用については、Patch Set Update and Critical Patch Update July 2014 Availability Document, My Oracle Support Note 1666884.1をご覧ください。
Critical Patch Updateを提供する製品とバージョン Critical Patch Updateプログラムにより提供されるパッチは、Lifetime Support Policy(日本語翻訳ページ)におけるPremier SupportまたはExtended Support期間にある製品バージョンに対して提供されます。 オラクル社は、Critical Patch Updateプログラムにより提供されるパッチを、確実に入手可能な製品バージョンへのアップグレードを計画されることを推奨します。 Premier SupportまたはExtended Support期間では無い製品リリースでは、本Critical Patch Updateで示されるセキュリティ脆弱性に関する検証を実施しておりません。 しかしながら、影響を受けるリリースの、より初期(earlier)のバージョンでは、これらの脆弱性の影響を受ける恐れがあります。 そのため、サポート中のバージョンへのアップグレードをお勧め致します。 Database、Fusion Middleware、Oracle Enterprise Manager Base Platform(旧"Oracle Enterprise Manager Grid Control")およびCollaboration Suiteでは、Software Error Correction Support Policy, My Oracle Support Note 209768.1(日本語翻訳文書)に従ってパッチが提供されます。 また、各サポートフェーズやサポート方針については、Technical Support Policies(日本語翻訳ページ)をご確認下さい。
Extended Support期間の製品 Critical Patch Updateプログラムにより提供されるパッチは、Oracle Lifetime Support Policy(日本語翻訳ページ)におけるExtended Supportをご購入されたお客様にのみ提供されます。 有効なExtended Supportのご契約をお持ちでない限り、Extended Support期間の製品のCritical Patch Updateプログラムにより提供されるパッチをダウンロードいただくことはできません。
謝辞 本Critical Patch Updateに含まれる脆弱性は、次の方々により発見・報告されました(敬称略)。
Alon Friedman; Andrea Micalizzi aka rgod, working with HP's Zero Day Initiative; Borked of the Google Security Team; CERT/CC; Cihan Oncu; David Litchfield of Datacom TSS; Florian Weimer of Red Hat; Ilja van Sprundel of ioactive.com; Jeroen Frijters; John Leitch working with HP's Zero Day Initiative; Larry W. Cashdollar; Matt Bergin of KoreLogic Disclosures; Michael Miller of Integrigy; Peter Kamensky of ERPScan (Digital Security Research Group); Rafal Wojtczuk of Bromium; Rohan Stelling of BAE Systems Detica; Sayan Malakshinov of PSBank; Serguei Mourachov; Toby Clarke of Gotham Digital Science; and Yash Kadakia of Security Brigade.
Security-In-Depth Contributors オラクル社は、弊社のSecurity-In-Depthプログラム(FAQ)に貢献して下さった方々に謝意を表明します。 このSecurity-In-Depthプログラムとは、Critical Patch Updateでの対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。 本Critical Patch Updateでは、オラクル社は、次の方々に特別の謝意を表明します(敬称略)。
Alexander Kornbrust of Red Database Security; Bartlomiej Balcerek of Wroclaw University of Technology; David Litchfield of Datacom TSS; and Lutz Wolf of RedTeam Pentesting GmbH.
On-Line Presence Security Contributors オラクル社は、弊社のOn-Line Presence Securityプログラム(FAQ)に貢献して下さった方々に謝意を表明します。 このOn-Line Presence Securityプログラムとは、Oracleの外部向けオンライン・システムの大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。 この四半期では、オラクル社は、次の方々に特別の謝意を表明します(敬称略)。
Adam Willard of Foreground Security; Ateeq Khan; Bikash Dash; Cameron Crowley; Inti de Ceukalaire; Jayson Zabate; Provensec Labs; Koutrouss Naddara; Manoj Kumar; Monendra Sahu; Osanda Malith Jayathissa; Rodolfo Godalle; S. Venkatesh; Satheesh Raj; Suraj Radhakrishnan; and Yasser Gamal Ahmed.
Critical Patch Updateのスケジュール Critical Patch Updateは、1月、4月、7月、10月の17日に最も近い火曜日に公開されます。今後4回のCPUの予定です(米国時間におけるOracle Technology Networkへの公開)。 - 2014年10月14日
- 2015年1月20日
- 2015年4月14日
- 2015年7月14日
参照情報
参考情報
原典
修正履歴
| 2014年7月15日 | Rev 1. Initial Release |
|
Topics
Printer View