JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月20日、「2022年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起」において、Oracleが複数の製品に対するクリティカルパッチアップデートをリリースしたことを伝えた。
クリティカルパッチアップデートは同社が四半期に1度提供している複数の脆弱性に対するパッチのコレクションで、前回のクリティカルパッチアップデート以降に提供された累積的なセキュリティパッチとなる。2022年7月のリリースには、製品ファミリー全体で延べ349個の脆弱性に対する修正が含まれているという。
修正された脆弱性の情報をはじめとしたアップデートの内容は、次のセキュリティアドバイザリにまとめられている。
セキュリティパッチの対象となる製品およびバージョンは非常に多岐にわたるため、使用している製品が含まれているかどうかについては、上記のセキュリティアドバイザリで確認いただきたい。対処方法は製品ごとにそれぞれ紹介されている。Oracle Database ServerやMySQL Server、Oracle Java SE、Oracle WebLogic Serverといった主要製品も含まれているため注意が必要。
これに関連して、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)でも、Oracle Java SEについて最新版へのアップデートを促す次のアナウンスを行っている。
CVE-2022-34169はJava向けのXSLTライブラリであるApache Xalan Java XSLTに報告されたスタイルシートの処理に関連した脆弱性で、悪用されると攻撃者に任意のコードを実行される危険性があるという。Oracle Java SEのベースとなっているOpenJDKには、Apache Xalan Java XSLTの再パッケージ化されたコピーが含まれている。
Oracleによるクリティカルパッチアップデートは、1月、4月、7月、10月それぞれの17日に最も近い火曜日にリリースされる。次回のアップデートは2022年10月18日に予定されている。