「MySQL」も対象 Oracleが374件の脆弱性を修正するセキュリティパッチを配布：通信系アプリに46件の“認証不要攻撃”リスク

Oracleは同社製品のセキュリティアップデート「Critical Patch Update - October 2025」を発表した。攻撃者が公開済みの脆弱性を悪用しようとする動きがあり、同社は「速やかにパッチを適用してほしい」と警告する。

[TechTargetジャパン]

　Oracleは2025年10月のセキュリティアップデート「Critical Patch Update - October 2025」を発表した。これは同社が開発したプログラムだけではなく、ライブラリ（プログラム部品群）など第三者が開発したコンポーネント（部品）に起因する脆弱（ぜいじゃく）性も修正するものだ。

通信系アプリに46件の“認証不要攻撃”リスク

併せて読みたいお薦め記事

「実施して当たり前」だけど後回しになりがちなアップデート

• ソフトウェアの「アップデート」を無視し続けた人が直面する“危険な末路”
• 「Windowsアップデート」が失敗する原因と、究極の対処法“5選”

　今回のセキュリティアップデートには複数製品にまたがる374件の新たなセキュリティパッチが含まれている。修正対象となる代表的な製品は以下の通りだ。

• データベース管理システム「Oracle Database Server」
  • バージョン19.3〜19.28、21.3〜21.19、23.4〜23.9など。
• アプリケーションサーバ「Oracle WebLogic Server」
  • バージョン12.2.1.4.0、14.1.1.0.0、14.1.2.0.0など。
• データベース管理システム「MySQL Server」、分散データベースシステム「MySQL Cluster」、データベースバックアップシステム「MySQL Enterprise Backup」
  • バージョン8.0.0〜8.0.43、8.4.0〜8.4.6、9.0.0〜9.4.0など。
• 収益管理システム「Oracle Communications Billing and Revenue Management」
  • バージョン12.0.0.4.0〜15.0.1.0.0など。

　修正対象となる脆弱性の中には、データ統合ツール「GoldenGate Stream Analytics」のように、CVSS（共通脆弱性評価システム）スコアが「9.8」のものもある。通信系アプリケーション「Oracle Communications Applications」には「認証不要でリモート攻撃可能な脆弱性」が46件あるため、早急にセキュリティパッチを適用する必要がある。

　Oracleは同社製品のセキュリティを保つため、次の対策を推奨している。

サポート対象バージョンを常に使用

　サポート終了バージョンはパッチ対象外となる可能性があり、脆弱性の影響を受けるリスクが高まる。

Critical Patch Updateを速やかに適用

　影響を受ける製品群を使用している場合は、なるべく早くセキュリティパッチを適用することで攻撃リスクを低減できる。

ワークアラウンドの検討

　セキュリティパッチを直ちに適用できない場合、ネットワークプロトコルのブロック、不要な権限の削除などのワークアラウンド（一時的な回避策）を適用することでリスクを軽減できる。だが根本的な対処ではないため、できるだけ早くセキュリティパッチを適用すべきだ。

過去のCritical Patch Updateを適用していない場合は過去分も確認

　今回のCritical Patch Updateは、過去のCritical Patch Updateで配布されたセキュリティパッチを全て含んでいるわけではないため、過去の未適用分も洗い出しておく必要がある。