米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、「Oracle Releases April 2021 Critical Patch Update|CISA」において、Oracleが同社の製品群に対して2021年4月のクリティカルパッチアップデートをリリースしたと伝えた。

クリティカルパッチアップデートは同社が四半期に1度提供している脆弱性に対するパッチのコレクションで、前回のクリティカルパッチアップデート以降に提供された累積的なセキュリティパッチとなる。2021年4月のリリースでは、製品ファミリー全体で390個のパッチが含まれているという。

修正された脆弱性の情報をはじめとしたアップデートの内容は、次のセキュリティアドバイザリにまとめられている。

  • Oracle Critical Patch Update Advisory - April 2021

    Oracle Critical Patch Update Advisory - April 2021

今回のセキュリティパッチの対象となる製品およびバージョンは多岐にわたるため、使用している製品が含まれているかどうかは、上記のセキュリティアドバイザリで確認いただきたい。対処方法も製品ごとに紹介されている。Oracle Fusion MiddlewareやOracle Database Serverといった主要製品も含まれているため注意が必要。

なお、このクリティカルパッチアップデートで対処された一部の脆弱性は複数の製品に影響を及ぼすため、並行して対処を講じる必要があるという。各脆弱性には一意の識別子としてCVE番号が割り当てられており、別の製品にも影響する可能性がある脆弱性は、CVE番号がイタリック体で表記されているとのことだ。

Oracleによるクリティカルパッチアップデートは、1月、4月、7月、10月それぞれの17日に最も近い火曜日にリリースされる。次回のアップデートは2021年7月20日に予定されている。