米Oracleは2022年1月17日(米国時間)、「Oracle Critical Patch Update Advisory - January 2022」において、同社が提供している製品群に対して提供する2022年1月のクリティカルパッチアップデートに関する事前情報を公開した。クリティカルパッチアップデートは、同社が四半期に1度提供している複数の脆弱性に対するパッチのコレクションで、前回のクリティカルパッチアップデート以降に提供された累積的なセキュリティパッチとなる。事前情報によると、2022年1月のリリースには、製品ファミリ全体で延べ483個の脆弱性に対する修正が含まれるという。
アップデートの対象となっている製品は多岐にわたるが、次に挙げる製品は深刻度が「Critical」(CVSS v3ベーススコアが9.0以上)に分類される脆弱性の修正を含んでおり、特に注意が必要。
- Oracle Essbase
- Oracle Secure Backup
- Oracle Communications Applications
- Oracle Communications
- Oracle Construction and Engineering
- Oracle Enterprise Manager
- Oracle Financial Services Applications
- Oracle Fusion Middleware
- Oracle Insurance Applications
- Oracle PeopleSoft
- Oracle Support Tools
- Oracle Utilities Applications
Oracleは、これらの脆弱性の多くが認証なしでリモートの攻撃者によって悪用される可能性があるとして、注意を促している。また、このクリティカルパッチアップデートで対処された脆弱性の一部は複数の製品に影響を及ぼすことも指摘している。
2022年1月のクリティカルパッチアップデートは米国時間の2022年1月18日にリリースされる予定となっている。Oracleでは、対処された脆弱性が悪用されるリスクを回避するために、パッチがリリースされ次第できるだけ早く適用するように呼びかけている。