Oracle、7月の定例セキュリティ更新で CVE コードを導入、修正は45件

Oracle は15日、四半期ごとの定例セキュリティ更新『Critical Patch Update』(CPU) を実施した。今回は、Oracle の製品ポートフォリオにまたがる45件の脆弱性に対する修正パッチが公開された。

7月の更新は、Oracle が BEA Systems を買収して以来初めて行なわれたものだ。BEA 製品のセキュリティ情報の更新も今回の CPU に含まれている。

7月に報告された脆弱性は45件で、4月の41件をわずかに上回った。

データベース セキュリティ企業 Imperva の最高技術責任者 (CTO) を務める Amichai Shulman 氏は、取材に対して次のように述べた。「今回の CPU には、特に顕著な特徴が3つある。1つめは、Oracle が脆弱性の識別に『Common Vulnerabilities and Exposure』(CVE) コードを使用する決断をしたこと。2つめは、データベースの脆弱性10件のうち9件が、旧版の Oracle データベースサーバーだけでなく、最新版の『Oracle 11G』にも当てはまること。そして3つめが、データベースの脆弱性のうち2件が Oracle 認証メカニズムに関わっていることだ」

CVE は脆弱性の共通識別コードを提供する標準アプローチの1つだ。Microsoft や Mozilla Foundation など、さまざまなテクノロジー ベンダーがセキュリティ情報の識別に CVE システムを利用している。

Oracle のグローバル テクノロジー事業部門でセキュリティ担当マネージャを務める Eric Maurice 氏は、Blog 投稿の中で次のように説明している。「Oracle は2008年7月の CPU から、CVE 識別子を使って各 CPU で修正される脆弱性を識別することになった。今後は、CPU リスク マトリクスでこれまで使っていた固有番号による識別方法は用いない。このため、CPU で修正される新しい脆弱性にはそれぞれ一意の CVE 識別子を割り当てる。この変更は、Oracle が CVE プログラムによる『Candidate Naming Authority』を取得したことで可能となったものだ」

Candidate Naming Authority を得たというのは、第三者機関による脆弱性識別子の付与を待つことなく、Oracle 自身が CVE 番号を各脆弱性に割り当てる権限を持つことを意味する。