Oracle April 2025 CPU: 378 Security Patches Released
20225/04/16 SecurityOnline — 2025年4月15日に Oracle は、最新の Critical Patch Update (CPU) をリリースし、広範な製品ポートフォリオ全体をカバーする、378件のセキュリティ・パッチを提供した。この 2025年4月版の CPU が網羅するのは、データベース/ミドルウェア/クラウド/通信アプリケーションなどであり、その中にはグローバルな金融機関/通信事業者/クラウドの中核を成すものも含まれている。
主な内容
Oracle Communications Applications に対しては、42件の新しいセキュリティ・パッチが適用されたが、そのうち 35件は、認証を必要とせずに、リモートからの悪用を許す脆弱性である。
Oracle Commerce には、6件の新しいパッチが適用されたが、その中には、Apache Tomcat の Guided Search コンポーネントに影響を与える CVE-2025-24813 (CVSS:9.8) などの、5件の深刻なリモートコード実行 (RCE) の脆弱性が含まれる。
Oracle Database Server には、7件の新しいパッチが適用されたが、そのうちの3件は、Java VM に影響を与える CVE-2025-30736 などの、リモートからの悪用を許す脆弱性である。
Oracle GoldenGate と TimesTen In-Memory Database には、Axios/Apache Commons IO/Netty に関連する、深刻度の高い脆弱性が複数が存在していた。
重大な脆弱性統計
- 対処済みの脆弱性総数:378件
- 修正された固有のCVE数 (製品間で重複する脆弱性を除く) :171件
- 認証を必要とせずにリモートから悪用可能な脆弱性:255件
- 重大度の高い脆弱性 (CVSS v3.1:7.0以上): 162件
- CVSS 9.0以上 (Critical):40件
- CVSS 9.8 (High):30件
- CVSS 10.0 の脆弱性:0件
この CPU は、以下の Oracle 製品群に影響を及ぼす:
- Oracle Database Server:バージョン 19.3~23.7
- Oracle Communications Suite (Unified Assurance/Messaging Server/Network Integrity)
- Oracle GoldenGate/Graph Server/Essbase/Secure Backup
- Oracle Java SE/Fusion Middlew SOA Suite/WebLogic Server
- Retail/ Financial Services/E-Business Suite/PeopleSoft など
Oracle は、「攻撃者が成功を収めているのは、提供されている Oracle パッチを、標的とされる顧客が適用していなかったためである」と述べている。同社がユーザーに対して強く推奨するのは、有効なサポート対象バージョンを使用し、アップデートを遅滞なく適用することである。
従来からの製品を使用し続け、パッチ適用サイクルが遅れている組織に対して、Oracle は古いバージョンには脆弱性が存在する可能性が高いと警告し、サポート対象バージョンへのアップグレードを強く推奨している。
Oracle の 2025年4月 Critical Patch Update では、378 件の脆弱性が FIX しました。そのうちの 255件は、認証なしでリモートから悪用可能な脆弱性です。ご利用のチームは、アップデートを忘れないよう、ご注意ください。よろしければ、Oracle で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.