有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)が8月1日、Oracle WebLogic(旧BEA WebLogic)Server および WebLogic Express Applicaiton ServerのWebLogic Apache connectorプラグインにバッファオーバーフローの脆弱性が確認されたことを明らかにした。
これらの製品には、Apacheウェブサーバと連動させるためのWeblogic Apache connectorプラグイン「mod_wl」が搭載されており、このプラグインに、細工されたPOSTリクエストを処理する際にバッファオーバーフローを引き起こす脆弱性が存在する。この脆弱性に関する検証コードも公開されている。
この問題が悪用されると、遠隔の第三者によって任意のコードが実行される可能性がある。7月31日現在、この脆弱性への対策方法は公開されていない。しかしOcacleでは、この脆弱性を軽減する回避策として、Apacheのhttpd.confにLimitRequestLine 4000のパラメータを追加する、mod_securityモジュールを導入するといった対策を公開している。
この脆弱性の影響を受けるシステムは以下の通り。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力