TOPSoftware > Oracle、4月の定例パッチは136件、脆弱性評価基準がC...

Software

Oracle、4月の定例パッチは136件、脆弱性評価基準がCVSS 3.0に

2016/04/22

Lucian Constantin IDG News Service

 米Oracleは現地時間2016年4月19日、3カ月おきに提供しているセキュリティ更新プログラム「Critical Patch Update」の最新版を公開した。今回のパッチも大規模で、「Oracle Database Server」「E-Business Suite」「Fusion Middleware」「Java」「MySQL」など、多種多様な製品の脆弱性136件を修正している。

Credit: Stephen Lawson

 今回の定例パッチで大きく変わったのは、脆弱性の深刻度の評価基準「Common Vulnerability Scoring System(CVSS)」のバージョンだ。これまでOracleはCVSS 2.0を採用していたが、今回から3.0に変わった。CVSS 3.0は、従来の2.0よりも正確に脆弱性の影響を反映する。今回の定例パッチでは、脆弱性にCVSS 2.0と3.0の両方のスコアが記載されていることから、新しい評価基準がOracleのパッチの優先度に及ぼす影響を、社内で比較検討する機会になる。

 今回のスコアを見て、すぐに気づく顕著な違いは、CVSS 2.0では深刻度のスコアが10.0という最高点の脆弱性が5件あるのに対し、CVSS 3.0で10.0が付いたものは1件もないことだ。一見、CVSS 3.0は脆弱性の深刻度を低く評価しているように思えるが、実際はそうではない。

 10.0こそないとはいえ、今回の定例パッチでは、CVSS 3.0のスコアで深刻度が「緊急(Critical)」にあたる脆弱性が17件あった。CVSS 2.0では9件だ。同様に、CVSS 3.0のスコアで深刻度が「重要(High)」にあたる脆弱性は25件だったのに対し、CVSS 2.0では12件のみだ。

↑ページ先頭へ