Oracleが月次の重大セキュリティパッチ更新(CSPU)を初めて公開し、深刻度「クリティカル」の欠陥約12件を含む、計77件の脆弱性に対するパッチを提供しました。
5月初旬に発表された月次配信は、四半期ごとの重大パッチ更新(CPU)を補完し、優先度の高い問題をより迅速に解決することを目的としています。
最初のCSPUは5月末に公開され、次回は6月中旬に予定されています。7月には四半期CPUがリリースされるほか、8月18日と9月15日にもそれぞれCSPUの公開が計画されています。
2026年5月のCSPUでは、Database Server、REST Data Services、Communications、E-Business Suite、Hospitality Applicationsの5製品におけるセキュリティ上の欠陥が修正されました。
E-Business Suiteには12件の新しいセキュリティパッチが適用されており、そのうち3件は認証不要でリモートから悪用可能な脆弱性に対応しています。
REST Data Servicesには11件の新しいセキュリティパッチが公開され、そのうち7件は認証なしでリモートから悪用可能なバグへの対応です。また、サードパーティ製コンポーネントの4件のバグも修正されており、うち3件はこのOracleプロダクトファミリーでは悪用不可能なものです。
Communicationsには8件の新しいセキュリティパッチが適用され、そのうち4件は認証不要でリモートから悪用可能なバグに対応しています。さらに、サードパーティ製コンポーネントの38件のCVEも追加で修正されています。
Database Serverでは3件のセキュリティ欠陥が修正されており、いずれも認証なしでリモートから悪用可能なものです。Hospitality Applicationsでは、リモートの未認証攻撃者が悪用可能な問題に対して1件のセキュリティパッチが適用されました。
修正された欠陥のうち約12件はクリティカル深刻度の脆弱性であり、残りの大半も高深刻度の脆弱性となっています。
脅威アクターはパッチ公開済みのOracle製品の脆弱性を標的にすることが知られているため、各組織はできるだけ早く利用可能なアップデートを適用することが推奨されます。
「場合によっては、標的となった顧客がOracleの利用可能なパッチを適用していなかったために、攻撃者が成功したという報告があります。そのためOracleは、顧客が積極的にサポートされているバージョンを継続して使用し、セキュリティパッチを遅延なく適用するよう強く推奨します」と同社は述べています。
翻訳元: https://www.securityweek.com/oracles-first-monthly-patches-resolve-77-vulnerabilities/
