[CPUJul2012] Oracle Critical Patch Update Advisory - July 2012
[概要]
Critical Patch Update はセキュリティ脆弱性のための複数のパッチをまとめたものです。
Critical Patch Update は累積的なパッチですが、各回のアドバイザリでは、前の Critical
Patch Update アドバイザリ以降新たに追加されたセキュリティ修正のみが案内されています。
そのため、過去のセキュリティ修正の情報については、これまでにリリースされた Critical
Patch Update アドバイザリを確認する必要があります。
以前の Critical Patch Update アドバイザリは、以下のURLから参照いただけます。
・Critical Patch Updates and Security Alerts
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
・Critical Patch UpdatesとSecurity Alerts(日本語翻訳ページ)
http://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html
攻撃の成功によってもたらされる危険を鑑み、オラクル社は、できるだけ早くCPUの修正
を適用することを強く推奨します。本 Critical Patch Update では、以下に記載の全て
の製品を通じて 87 の新たなセキュリティ修正が含まれています。
Critical Patch Update アドバイザリは、Common Vulnerability Reporting Format (CVRF)
version 1.1のXMLフォーマットで参照することもできます。詳細は下記のURLをご参照ください。
・What is CVRF?
http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html#CVRF
[影響を受ける製品及びコンポーネント]
本 Critical Patch Update で対応がなされているセキュリティ脆弱性は、下記のカテ
ゴリーで案内された製品に影響を及ぼします。
ライフタイム・サポート・ポリシー(Oracle Lifetime Support Policy)における
Premier Support または Extended Support 期間中で、影響を受ける製品とそのバージョン:
- Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3 [ Database ]
- Oracle Database 11g Release 1, version 11.1.0.7 [ Database ]
- Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5 [ Database ]
- Oracle Secure Backup, version 10.3.0.3, 10.4.0.1 [ Database ]
- Oracle Fusion Middleware 11g Release 2, version 11.1.2.0 [ Fusion Middleware ]
- Oracle Fusion Middleware 11g Release 1, versions 11.1.1.5, 11.1.1.6 [ Fusion Middleware ]
- Oracle Application Server 10g Release 3, version 10.1.3.5 [ Fusion Middleware ]
- Oracle Identity Management 10g, version 10.1.4.3 [ Fusion Middleware ]
- Hyperion BI+, version 11.1.1.x [ Fusion Middleware ]
- Oracle JRockit versions, R28.2.3 and earlier, R27.7.2 and earlier [ Fusion Middleware ]
- Oracle Map Viewer, versions 10.1.3.1, 11.1.1.5, 11.1.1.6 [ Fusion Middleware ]
- Oracle Outside In Technology, versions 8.3.5, 8.3.7 [ Fusion Middleware ]
- Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.1, 12.1.0.2 [ Enterprise Manager ]
- Enterprise Manager Grid Control 11g Release 1, version 11.1.0.1 [ Enterprise Manager ]
- Enterprise Manager Grid Control 10g Release 1, version 10.2.0.5 [ Enterprise Manager ]
- Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3 [ E-Business Suite ]
- Oracle E-Business Suite Release 11i, version 11.5.10.2 [ E-Business Suite ]
- Oracle Transportation Management, versions 5.5.06, 6.0, 6.1, 6.2 [ Supply Chain ]
- Oracle AutoVue, versions 20.0.2, 20.1 [ Supply Chain ]
- Oracle PeopleSoft Enterprise HRMS, versions 9.0, 9.1 [ PeopleSoft ]
- Oracle PeopleSoft Enterprise PeopleTools, versions 8.50, 8.51, 8.52 [ PeopleSoft ]
- Oracle Siebel CRM, versions 8.1.1, 8.2.2 [ Siebel ]
- Oracle Clinical Remote Data Capture Option, versions 4.6, 4.6.2, 4.6.3 [ Health Sciences ]
- Oracle Sun Product Suite [ Oracle Sun Product Suite ]
- Oracle MySQL Server, versions 5.1, 5.5 [ Oracle MySQL Product Suite ]
・Oracle Lifetime Support Policy
http://www.oracle.com/us/support/lifetime-support/index.html
・ライフタイム・サポート・ポリシー(日本語翻訳ページ)
http://www.oracle.com/jp/support/lifetime-support/index.html
[パッチのリリース状況とリスク・マトリクス]
累積的パッチの製品:
Critical Patch Updates に含まれる Oracle Database, Oracle Fusion Middleware,
Oracle Enterprise Manager Grid Control, Oracle E-Business Suite Applications,
JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise
Portal Applications, PeopleSoft Enterprise PeopleTools, Siebel Enterprise,
Industry Applications, FLEXCUBE, Primavera, Oracle VM 向けのパッチは
累積的なものです。
これらの製品向けの Critical Patch Update には、これまでにリリースされた Critical
Patch Update に含まれる修正を全て含みます。累積的パッチと非累積的パッチについて
の情報は、各製品のパッチリリース状況ドキュメントをご確認ください。
お客様が管理されている各オラクル製品について、以下に記載のURLから、パッチの提供
状況及び適用手順を確認して下さい。
- Oracle Database
Oracle Database Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixDB
パッチリリース状況
Patch Set Update and Critical Patch Update July 2012 Availability Document,
My Oracle Support Note 1455387.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1455387.1
- Oracle Fusion Middleware
Oracle Fusion Middleware Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixFMW
パッチリリース状況
Patch Set Update and Critical Patch Update July 2012 Availability Document,
My Oracle Support Note 1455387.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1455387.1
- Oracle Enterprise Manager
Oracle Enterprise Manager Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixEM
パッチリリース状況
Patch Set Update and Critical Patch Update July 2012 Availability Document,
My Oracle Support Note 1455387.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1455387.1
- Oracle Applications - E-Business Suite
Oracle Applications, E-Business Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixEBS
パッチリリース状況
Oracle E-Business Suite Critical Patch Update Note for July 2012,
My Oracle Support Note 1459818.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1459818.1
- Oracle Applications - Oracle Supply Chain, PeopleSoft Enterprise and Seibel Product Suite
Oracle Supply Chain Products Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixSCP
Oracle Seibel Products Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixSeibel
Oracle PeopleSoft Enterprise Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixPS
パッチリリース状況
Critical Patch Update Knowledge Document for PeopleSoft Enterprise, Supply Chain and Seibel Products suite,
My Oracle Support Note 1473115.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1473115.1
- Oracle Health Sciences Products Suite
Oracle Industry Applications Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixGBU
パッチリリース状況
Critical Patch Update July 2012 Patch Delivery Document for Oracle Health Sciences Products Suite,
My Oracle Support Note 1472244.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1472244.1
- Oracle Sun Product Suite
Oracle Sun Products Suite Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixSUNS
パッチリリース状況
Critical Patch Update July 2012 Patch Delivery Document for Oracle Sun Products Suite,
My Oracle Support Note 1446033.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1446033.1
- Oracle Virtualization Suite
Oracle Virtualization Products Suite Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixSUNS
パッチリリース状況
Critical Patch Update July 2012 Patch Delivery Document for Oracle Virtualization Products Suite,
My Oracle Support Note 1446033.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1446033.1
- Oracle MySQL Server
Oracle MySQL Risk Matrix
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html#AppendixMSQL
Critical Patch Update July 2012 Patch Delivery Document for Oracle Sun Products Suite,
My Oracle Support Note 1446033.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1446033.1
[リスク・マトリクス]
リスク・マトリクスでは、本アドバイザリで示される新たな脆弱性のみをご案内しています。
以前のセキュリティ修正に対するリスク・マトリクスは、下記の URL から参照いただけます。
・以前の Critical Patch Update advisories
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
・Critical Patch UpdatesとSecurity Alerts(日本語翻訳ページ)
http://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html
文章形式のリスク・マトリクス(英語)は下記の URL から参照いただけます。
・Text Form of Oracle Critical Patch Update - July 2012 Risk Matrices
http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html
本 Critical Patch Update で案内された脆弱性の幾つかは、複数の製品へ影響を及ぼし
ます。同一の脆弱性は、リスク・マトリクス内では、同じ CVE# で表現されています。
イタリック体は、他の製品エリアから包含されるコードの脆弱性を示します。
セキュリティに関する脆弱性は、CVSS version 2.0 を用いて評価されています。
・Use of Common Vulnerability Scoring System (CVSS) by Oracle
http://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html
オラクル社は、Critical Patch Update(CPU)によって案内されるそれぞれのセキュリティ
脆弱性の分析を行います。オラクル社は、その分析結果の全てを公表しませんが、結果を
まとめたリスク・マトリクスや関連する文書を通じて、脆弱性のタイプ、脆弱性を悪用する
ために必要な条件、脆弱性が悪用された場合の影響などの情報を提供します。オラクル社は
このようにして部分的に情報を公表しますので、お客様はご自身のオラクル製品の利用形態
に基づいてリスク分析を行って下さい。大原則として、オラクル社は、脆弱性の悪用に利用
され得るような必要条件や悪用の結果に関する詳しい情報は一切公開しません。また、
オラクル社は、CPUまたはセキュリティ・アラートによって告知される情報、パッチの
リリース状況、リリース・ノート(README FILE)及び FAQを上回る追加情報は提供しません。
さらにオラクル社は、CPU またはセキュリティ・アラートに関して、個別のお客様への事前
通知は行ないません。最後に、オラクル社は製品の脆弱性に関連する脆弱性実証コード
(exploit code or proof-of-concept code)の開発・提供も行っておりません。
詳細は、Oracle Security Vulnerability Disclosure Policies をご参照ください。
・Oracle Security Vulnerability Disclosure Policies
http://www.oracle.com/us/support/assurance/disclosure-policies/index.html
リスク・マトリクスに記載されるプロトコルは、もしセキュリティ形態を持つものがある
場合は、そのプロトコルも影響される事を示しています。たとえば、HTTPが影響を受ける
プロトコルに記載されている場合、(使用可能であれば)HTTPSも同様に影響を受けること
を示しています。
[回避策]
攻撃が成功することによってもたらされる危険を鑑み、オラクル社は、出来るだけ早く
CPUの修正を適用されることを強く推奨します。お客様の環境によっては、攻撃のために
必要となるネットワーク・プロトコルを制限することで、攻撃が成功する危険性を軽減
できる可能性があります。ある特定の権限、または、ある特定のパッケージへのアクセス
を必要とする攻撃に対し、その権限を必要としないユーザーから権限またはパッケージ
へのアクセスを削除することで、攻撃が成功する恐れを低減できる可能性があります。
これらの手法は、アプリケーションの機能を損なう可能性がありますので、オラクル社は
これらの変更を非プロダクション・システム(本番環境ではない環境)でテストされる
ことを強く推奨します。いずれの手法も、根本的に問題を修正することにはなりません
ので、長期にわたって有効な解決策として見なすべきではありません。
[Critical Patch Updatesの省略]
オラクル社はセキュリティ修正をできるだけ早く適用する事を強く推奨しています。
1つまたはそれ以上のCritical Patch Updatesの適用を行っておらず、今回のCPUで
セキュリティ修正のアナウンスが無かった製品について確認をする場合は、下記の
以前のアドバイザリをご確認ください。
・Critical Patch Updates and Security Alerts
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
・Critical Patch UpdatesとSecurity Alerts(日本語翻訳ページ)
http://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html
[製品の依存関係]
オラクル製品は、他のオラクル製品と依存関係にある場合があります。今回の Critical
Patch Update で公開されたセキュリティ脆弱性の修正は、依存関係にある製品に影響を
及ぼす場合があります。依存関係に関する詳細および依存関係のある製品のパッチ適用に
ついては、下記の Note をご覧ください。
・Patch Set Update and Critical Patch Update July 2012 Availability Document,
My Oracle Support Note 1455387.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1455387.1
[Critical Patch Updateを提供する製品とバージョン]
Critical Patch Update のパッチは、ライフタイム・サポート・ポリシーにおける
Premier Support または Extended Support 期間にある製品バージョンに対して提供
されます。オラクル社は、お客様がCritical Patch Update のパッチを確実に入手可能な
製品バージョンへのアップグレードを計画されることを推奨します。
・Lifetime Support Policy
http://www.oracle.com/us/support/lifetime-support/index.html
・ライフタイム・サポート・ポリシー(日本語翻訳ページ)
http://www.oracle.com/jp/support/lifetime-support/index.html
Premier Support または Extended Support 期間では無い製品リリースでは、本 Critical
Patch Update で示されるセキュリティ脆弱性に関する検証を実施しておりません。しかし
ながら、影響を受けるリリースの、より初期(earlier)のバージョンでは、これらの脆弱性
の影響を受ける恐れがあります。そのため、サポート中のバージョンへのアップグレードを
お勧め致します。
Database、Fusion Middleware、Oracle Enterprise Manager Base Platform(旧"Oracle
Enterprise Manager Grid Control")および Collaboration Suite では、不具合修正の
ポリシー(My Oracle Support Note 209768.1)に従ってパッチが提供されます。
また、各サポートフェーズやサポート方針については、テクニカル・サポート・ポリシーを
ご確認下さい。
・Database, FMW, Em Grid Control, and OCS Software Error Correction Support Policy,
My Oracle Support Note 209768.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1
・日本語翻訳は KROWN:54775, KROWN:127321 にて提供
https://krown.oracle.co.jp/krown/oisc_showDoc.do?id=54775
https://krown.oracle.co.jp/krown/oisc_showDoc.do?id=127321
・Technical Support Policies
http://www.oracle.com/us/support/policies/index.html
・テクニカル・サポート・ポリシー(日本語翻訳ページ)
http://www.oracle.com/jp/support/policy/index.html
[Extended Support期間の製品]
Critical Patch Update のパッチは、ライフタイム・サポート・ポリシーにおける
Extended Supportをご購入されたお客様にのみ提供されます。有効なExtended Supportの
ご契約をお持ちでない限り、Extended Support期間の製品のCritical Patch Update パッチ
をダウンロードいただくことはできません。
・Lifetime Support Policy
http://www.oracle.com/us/support/lifetime-support/index.html
・ライフタイム・サポート・ポリシー(日本語翻訳ページ)
http://www.oracle.com/jp/support/lifetime-support/index.html
[On-Request モデルについて]
オラクル社は、パッチダウンロードの件数統計に基づき、次回の Critical Patch Update
で多くのダウンロードが見込まれるリリースバージョン/プラットフォームの組み合わせ
に対して、優先してパッチの作成を行います。
Oracle Database、Oracle Application Server および Enterprise Manager において、
これまでのCPUにてダウンロード件数が際立って低調だったリリースバージョン/プラット
フォームの組み合わせに対しては、お客様からパッチの申請がされた場合のみ、CPUパッチ
をリリースする方針とさせて頂きます。
「On-Request」モデルに関する情報は、下記の Note 1455387.1 の「1.3 On-Request Patches」
からご確認下さい。
・Patch Set Update and Critical Patch Update July 2012 Availability Document,
My Oracle Support Note 1455387.1
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1455387.1
[謝辞]
本 Critical Patch Update に含まれる脆弱性は、下記の方々により発見・報告されました(敬称略)。
Alexander Kornbrust of Red Database Security; Deniz Cevik of Biznet;
Dennis Yurichev; Enrico Milanese of Emaze Networks S.p.A;
Esteban Martinez Fayo of Application Security, Inc.; Francis Provencher via Secunia SVCRP;
Jens Elkner; Joe Moore; Martin Carpenter of Citco; Mike Gerdts formerly of GE;
Paul Harrington of NGS Secure; Paul Ritchie of NGS Secure;
Sami Piiroinen and Juho Ranta of Louhi Security Oy; Stephen Kost of Integrigy;
Steven Seeley of Corelan Team; and Will Dormann of CERT/CC.
[Security-In-Depth Contributors]
オラクル社は、弊社の Security-In-Depth プログラムに貢献して下さった方々に謝意を
表明します。この Security-In-Depth プログラム とは、Critical Patch Update での
対応までは必要としないものの、将来のリリースにおける製品コードやドキュメントの
大幅な改変に結びつくようなセキュリティ脆弱性に関する情報の提供、提言、示唆をして
下さった方々に、特別の謝意を表明するプログラムです。
本 Critical Patch Update では、オラクル社は、次の方に特別の謝意を表明します(敬称略)。
Christian Schneider; Ofer Maor formerly of Hacktics; Stephen Kost of Integrigy.
Security-In-Depth プログラムについては下記のFAQをご確認ください。
http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html
[On-Line Presence Security Contributors]
オラクル社は、弊社の On-Line Presence Security プログラムに貢献して下さった方々
に謝意を表明します。この On-Line Presence Security プログラム とは、Oracleの外部
向けオンライン・システムの大幅な改変に結びつくようなセキュリティ脆弱性に関する
情報の提供、提言、示唆をして下さった方々に、特別の謝意を表明するプログラムです。
この四半期では、オラクル社は、次の方に特別の謝意を表明します(敬称略)。
Daniel Bradley of Postal Options Limited
On-Line Presence Security プログラムについては下記のFAQをご確認ください。
http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html
[Critical Patch Update のスケジュール]
Critical Patch Updates は、1月、4月、7月、10月の17日に最も近い火曜日に
公開されます。
今後4回のCPUの予定です(米国時間における Oracle Technology Network への公開)。
- 2012年10月16日
- 2013年1月15日
- 2013年4月16日
- 2013年7月16日
[参照情報]
- Oracle Critical Patch Updates and Security Alerts main page [ Oracle Technology Network ]
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
日本語のページは下記にて提供
http://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html
- Critical Patch Update - July 2012 Documentation Map [ My Oracle Support Note 1450651.1 ]
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1450651.1
- Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions [ CPU FAQ ]
http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html
- Risk Matrix definitions [ Risk Matrix Definitions ]
http://www.oracle.com/technetwork/topics/security/advisorymatrixglossary-101807.html
日本語翻訳は KROWN:122163 にて提供
https://krown.oracle.co.jp/krown/oisc_showDoc.do?id=122163
- Use of Common Vulnerability Scoring System (CVSS) by Oracle [ Oracle CVSS Scoring ]
http://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html
- English text version of the risk matrices [ Oracle Technology Network ]
http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html
- CVRF XML version of the risk matrices [ Oracle Technology Network ]
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/1695912.xml
- List of public vulnerabilities fixed in Critical Patch Updates and Security Alerts [ Oracle Technology Network ]
http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
- Software Error Correction Support Policy [ My Oracle Support Note 209768.1 ]
https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1
日本語翻訳は KROWN:54775, KROWN:127321 にて提供
https://krown.oracle.co.jp/krown/oisc_showDoc.do?id=54775
https://krown.oracle.co.jp/krown/oisc_showDoc.do?id=127321
- 過去の BEA Security Advisory は、下記のURLをご確認ください。(2009年4月14日までのセキュリティ勧告)
BEA Security Advisories Archive Page
http://www.oracle.com/technetwork/topics/security/beaarchive-159946.html
セキュリティアドバイザリ(日本語翻訳ページ)
http://www.oracle.com/technetwork/jp/topics/security/index-082264-ja.html
- Oracle PeopleSoft Security main page [ Oracle PeopleSoft/JDEdwards Support ]
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1473115.1
日本語の情報は下記にて提供
https://krown.oracle.co.jp/techinfo/upload/apps/index.html
[原典]
本KROWNは、Oracle Technology Network に掲載の以下の文書を翻訳したものです。
- Oracle Critical Patch Update Advisory - July 2012
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html
- Oracle Technology Network
http://www.oracle.com/technetwork/index.html
[変更履歴]
2012/07/20 公開
|
Topics
Printer View