米Oracleは10月16日、四半期に1度のセキュリティ更新プログラム「Critical Patch Update（CPU）」を公開した。Java SEを含む幅広い製品を対象として、計301件の脆弱性を修正している。

アップデートの対象となるのは、Oracle Database Server、Golden Gate、Big Data Graph、Fusion Middleware、Enterprise Manager、E-Business Suite、PeopleSoft、Siebel CRM、Industry Applications、Java SE、Virtualization、MySQL、Sun Systems Products Suiteなどの各製品。

今回の「Critical Patch Update」で修正される脆弱性は301件（出典：Oracle）

中でもGolden Gateには、危険度が共通指標CVSSのベーススコアで最も高い「10.0」の脆弱性が存在する。また、Database ServerやEnterprise Manager、Fusion Middleware、MySQLなどでも、危険度「9.8」の脆弱性が多数を占める。

Javaでは12件の脆弱性が修正された。危険度は最も高いもので「9.0」と評価されている。最新バージョンとなる「Java SE 11.0.1」が同日公開され、これらの脆弱性に対処した。

なお、「Java SE 8」については2019年1月を最後にアップデートが公開されなくなる。それ以降も脆弱性の修正やメンテナンスが必要な場合はOracleと長期サポート契約を結ぶ必要がある。

Oracle製品では、既知の脆弱性の悪用を試みる事案も相次いでおり、ユーザーがパッチの適用を怠ったことが原因で攻撃を受ける場合もあるという。このためOracleは、公開されたパッチは速やかに適用するよう強く勧告している。

次回のCPUは米国時間の2019年1月15日に公開予定。