JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は10月21日(米国時間)、「2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」において、Oracleの複数のプロダクトに脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、攻撃者によって不正操作や、機密情報の改ざんや削除などを実施される危険性があり注意が必要。
脆弱性に関する情報は、次のOracleのWebサイトにまとまっている。
脆弱性が存在するとされる主なプロダクトおよびバージョンは次のとおり。ただし、対象となるプロダクトは多岐にわたるため、正確な情報に関しては上記のWebページの内容を確認することが推奨されている。
- Java SE JDK/JRE 15
- Java SE JDK/JRE 11.0.8
- Java SE JDK/JRE 8u261
- Java SE JDK/JRE 7u271
- Java SE Embedded 8u261
- Oracle Database Server 19c
- Oracle Database Server 18c
- Oracle Database Server 12.2.0.1
- Oracle Database Server 12.1.0.2
- Oracle Database Server 11.2.0.4
- Oracle WebLogic Server 14.1.1.0.0
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
-
Oracle Critical Patch Update Advisory - October 2020
JPCERT/CCは必要に応じてアップデートを適用することを推奨している。ただし、対象プロダクトをアップデートした場合は、対象プロダクトを使用する他のアプリケーションが正常に動作しなくなる可能性もあるとされている。利用するアプリケーションへの影響を考慮した上でアップデートを実施する必要がある。
