JPCERT コーディネーションセンター(JPCERT/CC)は4月17日、米Oracleが4月16日(現地時間)に複数の製品に対するクリティカルパッチアップデートに関する情報を公開したことを受け、「2019年 4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」を発行した。

クリティカルパッチアップデートは、複数の脆弱性を修正するパッチをまとめたもの。対象の脆弱性を悪用された場合、リモートからの攻撃によってアプリケーションが不正終了したり、任意のコードが実行されたりするなどの恐れがあるという。

パッチに含まれている主な製品とバージョンは次の通り。

  • Java SE JDK/JRE 11.0.2 およびそれ以前
  • Java SE JDK/JRE 12
  • Oracle Database Server 11.2.0.4
  • Oracle Database Server 12.1.0.2
  • Oracle Database Server 12.2.0.1
  • Oracle Database Server 18c
  • Oracle Database Server 19c
  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server 12.2.1.3.0

Oracleからは各製品に対して、修正済みソフトウェアが公開されているので、該当の製品を利用している場合は速やかにアップデートすることが望まれる。Java SE、Oracle Database および WebLogicについては、次のバージョンが公開されている。

  • Java SE JDK/JRE 11.0.3
  • Java SE JDK/JRE 12.0.1
  • Oracle Database Server 11.2.0.4
  • Oracle Database Server 12.1.0.2
  • Oracle Database Server 12.2.0.1
  • Oracle Database Server 18c
  • Oracle Database Server 19c
  • Oracle WebLogic Server 10.3.6.0
  • Oracle WebLogic Server 12.1.3.0
  • Oracle WebLogic Server 12.2.1.3

Oracleによると、既に公式アップデートを終了している Java SE JDK/JRE 7 および Java SE JDK/JRE 8 も脆弱性の影響を受けるという。