JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月18日、「2023年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起」において、Oracleが自社の製品群に対して2023年1月のクリティカルパッチアップデートをリリースしたとして、注意喚起を行った。
クリティカルパッチアップデートは同社が四半期に1度提供している複数の脆弱性に対するパッチのコレクションで、前回のクリティカルパッチアップデート以降に提供された累積的なセキュリティパッチとなる。2023年1月のリリースでは、製品ファミリー全体で327件、重複を除くとCVEベースで183件の脆弱性に対する修正が行われている。
修正された脆弱性の情報をはじめとするアップデートの内容は、次のセキュリティアドバイザリにまとめられている。
セキュリティパッチの対象となる製品およびバージョンは非常に多岐にわたる。使用している製品が含まれているかどうか、上記のセキュリティアドバイザリで確認することが望まれる。Oracle Database Server、Oracle Java SE、Oracle Solaris、Oracle MySQLなどといった主要製品も含まれているため注意が必要。
上記のうち、Java SEに関しては攻撃された場合の影響が大きいとして、情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)からも下記の注意喚起が行われている。
JPCERT/CCは、Oracleが提供する情報を確認した上で、必要に応じてアップデートを適用することを推奨している。ただし、製品をアップデートした場合は対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があるため、利用するアプリケーションへの影響を考慮した上で更新を行うように呼びかけている。
Oracleによるクリティカルパッチアップデートは毎年、1月、4月、7月、10月の第3火曜日にリリースされる。今後のアップデートは2023年4月18日、2023年7月18日、2023年10月17日、2024年1月16日にそれぞれ予定されている。