Oracle の July 2022 Critical Patch Update:349 件のセキュリティ・パッチをリリース

Oracle Releases 349 New Security Patches With July 2022 CPU

2022/07/20 SecurityWeek — 7月19日に Oracle は、July 2022 Critical Patch Update (CPU) を発表し、合計で 349件の新しいセキュリティ・パッチをリリースしたが、そこには、リモートの未認証の攻撃者が悪用できる脆弱性 230件も含まれる。今月の Critical Patch Update (CPU) には、CVSS 値が 10 である4件を含む、64件の Critical な脆弱性に対するセキュリティ・パッチが提供され、CVSS 値が 8〜9 である 20件をの脆弱性にも対処されている。

前回の April 2022 Critical Patch Update と同様に、オラクルは Spring4Shell やSpringShell として知られる、Spring Framework のリモートコード実行 (RCE) の深刻な欠陥 CVE-2022-22965 に対処するパッチを継続的にリリースしている。

Financial Services Applications に関しては、今回のパッチセットに 59件が含まれ、最も多くの修正を受けている。このうちの 38件は、認証なしでリモートから悪用できる脆弱性を解決したものだ。

Oracle Communications は、2番目に脆弱性が多かっった製品群であり、56件の新しいセキュリティ・パッチが適用され、そのうちの 45件は、認証されていない攻撃者がリモートで悪用可能なバグに対するものだ。

それに続くのが、Fusion Middleware (38件 – 32件 は認証なしでリモートから攻撃可能)、およびMySQL (34件 – 10件)、Supply Chain (24件 – 19件)、Communications Applications (17件 – 12件)、Retail Applications (17件 – 13件)、Commerce (12件 – 10件)、PeopleSoft (11件 – 9件) となっている。

今月にパッチを受けた、その他の Oracle 製品には、Database Server、Construction and Engineering、Systems、E-Business Suite、Enterprise Manager、Health Sciences Applications、JD Edwards、Java SE、GoldenGate などが含まれる。

Oracle は 2022年7月の CPU で、これらのアプリケーションの多くについて、追加の脆弱性も解決した発表している。さらに、新たなセキュリティ修正を受けていないサードパーティ製のパッチも含まれているという。

パッチが適用されていない Oracle アプリケーションを、標的とする攻撃は珍しくない。したがって、顧客は、悪用されることを避けるために、新しくリリースされた修正プログラムを、可能な限り早急に適用することが推奨される。

Oracle が四半期ごとにリリースする Critical Patch Update (CPU) の 7月版で、合計で 349件の新しいセキュリティ・パッチが提供されたとのことです。日本時間では、7月20日 (水) の早朝となりますが、お隣のキュレーション・チームも普段より早起きして、明け方から作業していたようです。リモートの未認証の攻撃者が悪用できる脆弱性が、230件も含まれるとのことで、とても重要な July 2022 CPU だったようです。

%d bloggers like this: