オラクル、4月の定例パッチで297件の脆弱性を修正
オラクルは2019年の2回目の定例パッチで、WebLogic、Java SEおよび他の製品コンポーネントのバグを含む約300件の脆弱性を修正しました。
背景
4月16日、オラクルは四半期ごとの脆弱性修正の一環として、 2019年4月のCritical Patch Updateをリリースしました。このアップデートには、多数のオラクル製品にわたる297件の修正が含まれています。
分析
2019年4月のCritical Patch Updateで、オラクルは セキュリティ研究者Matthias Kaiserにより報告されたOracle WebLogic ServerのWLSコアコンポーネントとWebサービスいくつかの脆弱性を解決しました(CVE-2019-2645、CVE-2019-2646、CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650) 。これらの脆弱性は認証なしでリモートから悪用される可能性があります。
今月のリリースには、Windows DLL(CVE-2019-2699)、2D(CVE-2019-2697、CVE-2019-2698)、Oracle Java SEおよびOracle Java SEの埋め込みライブラリ(CVE-2019-2602)、およびリモートメソッド呼び出し(RMI) (CVE-2019-2684)などOracle Java SEコンポーネントに対する5つのセキュリティ修正が含まれています。
さらに、今月のリリースには、以下のコンポーネントの重大な脆弱性に対する修正が含まれています。
- CVE-2019-3772 (Spring Framework)
- CVE-2017-5645 (Apache Log4j)
- CVE-2018-19362 (FasterXML jackson-databind)
- CVE-2019-3822 (libcurl)
- CVE-2018-11219 (Redis)
- CVE-2018-11236 (glibc)
- CVE-2016-4000 (Jython)
- CVE-2015-3253 (Apache Groovy)
また、今四半期のCritical Patch UpdateにはTenable Researchにより発見されたApache Commons FileUploadのリモートでコードが実行される脆弱性(CVE-2016-1000031)の修正が含まれています。 この脆弱性は、Oracle Communications Applications、Oracle Enterprise Manager製品スイート、Oracle Fusion Middlewareなど、10種類の製品/アプリケーションスイートで修正されています。
2019年4月のCritical Patch Updateで修正された脆弱性を持つ製品/アプリケーションは以下のとおりです。
- Oracle Database Server
- Oracle Berkeley DB
- Oracle Commerce
- Oracle Communications Applications
- Oracle Construction and Engineering Suite
- Oracle E-Business Suite
- Oracle Enterprise Manager Products Suite
- Oracle Financial Services Applications
- Oracle Food and Beverage Applications
- Oracle Fusion Middleware
- Oracle Health Sciences Applications
- Oracle Hospitality Applications
- Oracle Java SE
- Oracle JD Edwards Products
- Oracle MySQL
- Oracle PeopleSoft Products
- Oracle Retail Applications
- Oracle Siebel CRM
- Oracle Sun Systems Products
- Oracle Supply Chain Products
- Oracle Support Tools
- Oracle Utilities Applications
- Oracle Virtualization
ソリューション
オラクルは、このCritical Patch Updateに含まれている関連するすべてのパッチを適用するよう顧客に促しています。詳細情報については、2019年4月アドバイザリをご覧ください。
影響を受けているシステムの特定
これらの脆弱性を識別するためのNessusプラグインのリストは、リリースされるたびにこちらに表示されます。
詳細情報
- Oracle Critical Patch Update Advisory - April 2019
- Apache Commons FileUpload(CVE-2016-1000031)に対するTenable Researchアドバイザリー
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。