有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は7月18日、WebLogic ServerおよびWebLogic Expressにディレクトリトラバーサルの脆弱性が確認されたと発表した。これらの製品はアプリケーションサーバであり、BEA Systemsから提供されていたが、2008年4月の買収により現在はオラクルが提供している。
この脆弱性の影響を受けるシステムは、7月15日以前の製品に付属するApache、Sun、Microsoft IISウェブサーバー用プラグインで、具体的には「Apache 用プラグイン」「NSAPI(Netscape Server Application Program Interface)用プラグイン」「ISAPI(Internet Server Application Program Interface)用プラグイン」となる。
脆弱性が悪用されると、遠隔の第三者によりWebLogic ServerおよびWebLogic Expressが設置されているサーバ内のファイルを認証なしで閲覧され、ファイルの内容が意図せず漏えいする可能性がある。
なお、オラクルではこの脆弱性を解消する最新版のプラグインを公開しており、該当するユーザーはアップデートするよう呼びかけている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス