今四半期はゼロデイはないが、パッチ適用チームには依然として多くの作業がある。
Oracleは、今年最初の大きなパッチ適用作業をセキュリティチームに突き付けた。最新の四半期アップデートには、製品群全体で合計337件という大量のセキュリティ修正が含まれており、そのうち27件は重大(critical)と評価されている。
この膨大なパッチ数は、Oracle製品の面倒を見るのが仕事の人にとっては驚きではないだろう。2025年の同社は1回の更新あたり平均344件だったため、337件はその水準に沿っている。
このような大規模アップデートで最初にやるべきことは、どこから手を付け、何を優先するかを見極めることだ。通常は、重大度に細心の注意を払いながら、コア製品の欠陥を評価することになる。
後者について言えば朗報として、Oracleの把握する限り、1月の脆弱性はいずれも実環境で悪用されていない。つまり今回は、心配すべきゼロデイはない。
ただし、これが変わらない保証はないため、セキュリティチームは、重大評価の13件のCVEに対応する27件のパッチに最も注意を払うことになる。
かつてアップデートは、独自コードの欠陥を修正することが中心だった。そうした時代はとうに終わっている。1月の更新の相当部分は、Oracleが製品内部で使用しているオープンソースライブラリなど、サードパーティコードに影響する問題を扱っている。
そのため、個々のCVEが現在ではしばしば複数製品にまたがる複数のパッチを生み、何を修正すべきかの評価をより難しくしている。
その高優先度の例が、Oracle HTTP ServerおよびOracle Weblogic Server Proxy Plug-inに影響するCVE-2026-21962だ。最大CVSSスコア10が付与されたこの重大な脆弱性は、脆弱なコードを含む製品に応じて、7種類の異なるパッチで対処されている。
CVEの肥大化
ややこしいのは、最新アップデートに列挙されたCVEの一部が、過去の四半期アップデートのCVEに関連している点だ。顕著な例が、Oracle Middleware Common Libraries and Toolsに影響し、CVSSで9.8(重大)と評価されているCVE-2025-66516で、これはCVE-2025-54988を前身としている。これは、8月に最初に発見され、12月に対象範囲がより多くのコンポーネントへ拡大された、注目度の高いApache Tikaの問題に対処するものだ。
このCVE肥大化という現象は、1月の更新に含まれる脆弱性のおよそ50件に当てはまり、場合によっては1つの新しいCVEが複数の古いCVEを参照している。
製品別では、適用すべきパッチが56件と最も多いのはZero Data Loss Recovery Appliance(ZDLRA)で、そのほとんどはサードパーティコンポーネントの修正だ。これらのうち34件はリモートから悪用可能と説明されているにもかかわらず、新しいCVE識別子が付いているのは1件だけで、CVSS 3.1で(低)重大度のCVE-2026-21977である。
パッチを適用する人にとって、このニュアンスは重要だ。製品には新しいCVEが1件しかないように見えても、その背後には他ベンダーのCVEで特定された複数の問題が潜んでいる可能性がある。
パッチ数でZDLRAに続くのはOracle Enterprise Managerで51件(そのうち47件は認証なしでリモート悪用可能)、そしてOracle E-Business Suiteで38件(そのうち33件はリモート悪用可能)だ。
Oracleの包括的なパッチ適用サイクルにもかかわらず、同社のセキュリティへの取り組みが常に有効だったわけではない。2025年には、ある脅威アクターが脆弱なOracleサーバーから600万件のレコードを盗んだと主張したが、同社はこの主張を繰り返し否定した。
その後、セキュリティ企業CloudSEKは、疑惑のハッキングにつながった脆弱性がCVE-2021-35587であると特定した。これは本来パッチが適用されているべき古い問題だ。おそらく偶然だろうが、8月には長年務めた最高セキュリティ責任者(CSO)のMary Ann Davidsonが退社することが発表された。
