Oracle Critical Security Update – Patch for 35 New Vulnerabilities Across Products
2026/05/29 CyberSecurityNews — Oracle は、従来からの Critical Patch Update (CPU) を補完するものとして、Critical Security Patch Update (CSPU) を開始した。それにより、Oracle Database/REST Data Services/Communications Unified Assurance/E-Business Suite/Hospitality OPERA 5 などを含む主要製品ライン全体に存在する、深刻な脆弱性に対処する新たな修正が提供された。
この新しい CSPU モデルは、既存の四半期ごとの CPU を補完する、小規模かつ重点的な高優先度の修正セットとして設計されている。それによりユーザーは、大規模な累積リリース (CPU) を待つことなく、深刻な問題に対して迅速に対応できる。
2026年5月28日の CSPU は、Oracle の月次セキュリティ・パッチ適用サイクルの開始を告げる最初のリリースであり、今後において、毎月の第 3 火曜日に原則として提供される予定である。数十の製品ファミリーにまたがり、数百件の修正を含むことがある CPU とは異なり、今回の CSPU においては、早急な対応が必要とされる新たな脆弱性に焦点が当てられている。
Oracle クリティカル・セキュリティ更新
一連のパッチは、Oracle 独自コードに加えて、Oracle 製品に組み込まれているサードパーティ製コンポーネントにも適用される。具体的には、Apache Kafka/ActiveMQ/Tomcat/ZooKeeper/MySQL/PCRE2/libpng/Apache HTTP Server などが対象となる。
- データベース・スタックでは、Oracle Database Server バージョン 23.4.0 ~ 23.26.2 に対し、Net Service コンポーネント向けの 3 件の新たなセキュリティ修正が提供されている。脆弱性 CVE-2026-46833/CVE-2026-46834/CVE-2026-46835 は、いずれも TLS 経由で認証不要のリモート悪用を可能にするものだ。
この修正プログラムは、データベース・サーバが展開されていない、クライアントのみがインストールされた環境にも適用される。したがって、Oracle クライアント・ライブラリが、信頼できないネットワークや仲介サービスに接続されている環境においても、パッチ適用が不可欠となる。
- Oracle REST Data Services (ORDS) のバージョン 24.2.0 ~ 26.1.0 は、特に大きな影響を受けている。11 件の新たなセキュリティ修正と、バンドルされたサードパーティ製コンポーネント向けの追加アップデートが提供されている。
これらの脆弱性のうちの 7 件は、HTTPS 経由で認証不要のリモート悪用が可能なものである。影響が及ぶ範囲は、ORDS コア/Backend-as-a-Service/MongoAPI/Eclipse Jetty スタックであるが、特に Backend-as-a-Service コンポーネントの CVE-2026-46840 は CVSS v3.1 スコア 10.0 と評価されている。公開された ORDS エンドポイントで悪用された場合には、機密性/完全性/可用性が完全に侵害される可能性がある。
- Oracle Communications Unified Assurance バージョン 6.1.1 ~ 7.0.0 では 8 件の新たな脆弱性が修正されている。そのうち 4 件は、メッセージングおよびコア Web コンポーネントにおいて、認証不要のリモート悪用を許すものである。
- Oracle E-Business Suite 12.2.3 ~ 12.2.15 向けに 12 件の新たな修正が提供されている。それらの脆弱性は、Payments/Payroll/iAssets/Flow Manufacturing/Financials Common Modules などのモジュールに影響を及ぼすものだ。さらに、一部の脆弱性は HTTP/HTTPS 経由での悪用が可能であり、CVSS スコアは 9.8 ~ 9.9 に達している。
- ホスピタリティ分野では、Oracle Hospitality OPERA 5 Property Services において CVE-2026-34311 (CVSS 9.8) が修正されている。この脆弱性は、リモートからの悪用が可能なものであり、複数の 5.6.x リリース に影響を及ぼす。
これらの脆弱性に関する、CVSS 評価/詳細なアドバイザリ/リスク・マトリクスや、自動化されたセキュリティ管理のための CSAF フィードは、すべて Oracle Security Alert を通じて提供されている。
このアドバイザリが強調するのは、顧客が更新を遅らせた場合に、すでにパッチが提供されている脆弱性が、攻撃者に悪用される危険性である。Oracle は、サポート対象の全バージョンに対し、CSPU パッチを直ちに適用することを強く推奨している。
緩和策としての、影響を受けるネットワーク・プロトコルの遮断や不要な権限の削除により、一時的なリスク低減が可能な場合もある。ただし、Oracle は、そのような対策はアプリケーションの機能を損なう可能性があり、根本的なコード修正へのパッチ適用に代わる長期的な対策として扱うべきではないと警告している。
訳者後書:Oracle のパッチ提供プログラムに、Critical Security Patch Update (CSPU) が加わり、原則として第 3 火曜日に提供される予定とのことです。その第一回目が提供され、複数の脆弱性が修正されました。データベースの脆弱性 CVE-2026-46833 や、Backend-as-a-Service の脆弱性 CVE-2026-46840、Hospitality の脆弱性 CVE-2026-34311 などは、いずれもネットワークを介して、未認証のリモート攻撃者に悪用を許すものです。なお、今回の脆弱性には、製品の独自コードだけではなく、組み込まれているサードパーティ製コンポーネントに起因するものも多く含まれています。ご利用のチームは、ご注意ください。よろしければ、Oracle での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.