JPCERT コーディネーションセンター(JPCERT/CC)は4月17日、米Oracleが4月16日(現地時間)に複数の製品に対するクリティカルパッチアップデートに関する情報を公開したことを受け、「2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」を発行した。
クリティカルパッチアップデートは、複数の脆弱性を修正するパッチをまとめたもの。対象の脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあるという。
パッチに含まれている主な製品とバージョンは次の通り。
- Java SE JDK/JRE 11.0.2 およびそれ以前
- Java SE JDK/JRE 12
- Oracle Database Server 11.2.0.4
- Oracle Database Server 12.1.0.2
- Oracle Database Server 12.2.0.1
- Oracle Database Server 18c
- Oracle Database Server 19c
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.3.0
Oracleからは各製品に対して、修正済みソフトウェアが公開されているので、該当の製品を利用している場合は速やかにアップデートすることが望まれる。Java SE、Oracle Database および WebLogicについては、次のバージョンが公開されている。
- Java SE JDK/JRE 11.0.3
- Java SE JDK/JRE 12.0.1
- Oracle Database Server 11.2.0.4
- Oracle Database Server 12.1.0.2
- Oracle Database Server 12.2.0.1
- Oracle Database Server 18c
- Oracle Database Server 19c
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 12.2.1.3
Oracleによると、既に公式アップデートを終了している Java SE JDK/JRE 7 および Java SE JDK/JRE 8 も脆弱性の影響を受けるという。
