Oracle の April 2022 Critical Patch Update:520 件の脆弱性に対応

Oracle Releases 520 New Security Patches With April 2022 CPU

2022/04/20 SecurityWeek — 2022年4月19日に Oracle は、April 2022 Critical Patch Update (CPU) をリリースし、認証なしでリモートから悪用できる脆弱性である約 300件を含む、合計で 520件のセキュリティ修正に対処した。一連のパッチのうち約 75件は Critical と評価され、その中の 3件は CVSS 値が 10 であり、また、40件以上は CVSS 値 8〜9 となっている。

今月の Critical Patch Update (CPU) には、Spring Framework における深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-22965 (Spring4Shell/SpringShell) に対処するパッチも含まれる。また、これらのパッチには、Spring Cloud Function の深刻な RCE 脆弱性 CVE-2022-22963 への対応も含まれる。

Oracle の Communications カテゴリには、この四半期 CPU で最多のパッチ数となる 149件を提供された。対処されたバグのうち、98件は認証なしでリモートから悪用される可能性があると、Oracle はアドバイザリで指摘している。

残りのパッチの大部分は、Fusion Middleware (54件の修正:認証なしでリモートから悪用 41件)、MySQL (43 – 11)、Financial Services Applications (41 – 19)、Communications Applications (39 – 22)、Retail Applications (30 – 15)、Systems (20 – 14)、Blockchain Platform (15 – 14) などに対してリリースされている。

今週にパッチが適用された、その他の Oracle アプリケーションとしては、PeopleSoft、Hyperion、Supply Chain、Enterprise Manager、HealthCare Applications、JD Edwards、Java SE、Commerce、Insurance Applications、Virtualization、 Hospitality Applications、Database Server、GoldenGate などがある。

Oracle は、April 2022 CPU ではサードパーティ製のパッチも取り込み、これらのアプリケーションの多くと、これまでにセキュリティ修正がされていないソフトウェアにも対処したと述べている。新たに発表されたセキュリティ・パッチは追加の脆弱性にも対応しており、悪用不可能な CVE も解決されていると、同社は発表している。

Oracle は、すでに対処済みの脆弱性を狙った、攻撃の報告を継続的に受けているとし、可能な限り早急に Critical Patch Update (CPU) を適用するよう、顧客に強く推奨している。

4月19日に、Cybersecurity and Infrastructure Security Agency (CISA) はユーザーと管理者に対して、Oracle の April 2022 CPU を確認し、利用可能なパッチを可能な限り早急に適用するよう促している。CISA は、「Oracle は、2022年4月の重要なパッチ・アップデートを公開し、複数の製品にわたる 520件の脆弱性に対処している。リモートの攻撃者は、これらの脆弱性を悪用して、システムを侵害/制御することが可能だ」と述べている。

なお、Oracle は、2022年7月19日に次の Critical Patch Update (CPU) をリリースする予定である。

今月の Oracle Critical Patch Update (CPU) には、Spring4Shell も入っていたようですね。この CPU は、1月/4月/7月/10月 の第三火曜日に、日本時間の水曜日の朝に出てきます。そんなわけで、4月20日も、お隣のキュレーション・チームは早朝から泣きながら仕事をしていました。1週間前の水曜日の朝は Microsoft の Patch Tuesday が、木曜の朝には2週連続で Cisco がというふうに、主要ベンダーからの重要かつ大量の脆弱性情報が提供された4月は、とても大変だったようです。

%d bloggers like this: