旧BEAのWebLogicサーバ製品にバッファオーバーフローの脆弱性
吉澤亨史
2008/08/05 14:17
有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)が8月1日、Oracle WebLogic(旧BEA WebLogic)Server および WebLogic Express Applicaiton ServerのWebLogic Apache connectorプラグインにバッファオーバーフローの脆弱性が確認されたことを明らかにした。
これらの製品には、Apacheウェブサーバと連動させるためのWeblogic Apache connectorプラグイン「mod_wl」が搭載されており、このプラグインに、細工されたPOSTリクエストを処理する際にバッファオーバーフローを引き起こす脆弱性が存在する。この脆弱性に関する検証コードも公開されている。
この問題が悪用されると、遠隔の第三者によって任意のコードが実行される可能性がある。7月31日現在、この脆弱性への対策方法は公開されていない。しかしOcacleでは、この脆弱性を軽減する回避策として、Apacheのhttpd.confにLimitRequestLine 4000のパラメータを追加する、mod_securityモジュールを導入するといった対策を公開している。
この脆弱性の影響を受けるシステムは以下の通り。
- WebLogic Server 10.0 Maintenance Pack 1 およびそれ以前
- WebLogic Server 9.2 Maintenance Pack 3 およびそれ以前
- WebLogic Server 9.1
- WebLogic Server 9.0
- WebLogic Server 8.1 Service Pack 6 およびそれ以前
- WebLogic Server 7.0 Service Pack 7 およびそれ以前
- WebLogic Server 6.1 Service Pack 7 およびそれ以前
関連記事 [ powered by deqwas ]
-
日本BEA、J2EEとSIP対応アプリケーション・サーバ 「BEA WebLogic SIP Server 2.1J」を出荷開始
2005/12/12 00:00 [ リリース ]
-
日本BEA、BEA WebLogic ServerがUnix/Windows/Linuxをサポート
2004/01/14 16:22 [ 情報システム ]
-
Windowsサーバにバッファオーバーフローの脆弱性
2004/12/01 10:57 [ セキュリティ ]
-
Amazon、Yahoo、eBay、Googleに続く5番目の会社を知っていますか?
2003/07/11 10:05 [ ブログ ]
-
英国で容量3.2テラバイトのハードディスクレコーダー開発
2005/07/28 13:45 [ パーソナルテクノロジー ]
戦略的に考えるための7つの便利なフレームワーク
マネジメントの「コラム」と「コネタ」企画特集
-
今注目の「サジェスト検索」−デモ掲載中
システムのユーザビリティに革命を起こす技術とは
-
次世代録画メディアが拓く新しい録画文化
マルチプレーヤーの登場でさらに広がるiVDRの世界
-
集積度も性能も、業界最高水準のブレードPC
サーバの実装技術を、シン・クライアントへ応用
-
SOAと業務改善
SOA全般を網羅したOracleのリソースを公開中
-
リニューアルしたロリポップ!
【第2回】進化の裏側を技術責任者 宮下氏が解説!!
-
中小企業のセキュリティリスクとは?
導入する側・される側 得するセキュリティ製品
-
パンデミック対策特集
2009年のパンデミック発生から再考する事業継続計画
-
◆エン・ジャパン厳選求人☆毎週更新◆
不況下でも急成長の秘訣とは?注目企業の取組みも公開!
-
そのストレージで仮想化に対応できますか?
メリット盛りだくさんのサンのオープンストレージ製品
-
インターネット上の悪意を未然に防ぐには?
ブラウザに備わったセキュリティ機能を徹底解説
-
見落としがちになっています。
-
気付いてますか?仮想環境の課題とは
CNET Japan セレクション
-
マルキュー成功の要因は何か
ジャパンイマジネーションという会社は「セシルマクビー」をはじめとする「ギャル」や「ギャルのちょっと上の世代」に向けたファッションブランドを展開している。同社の発展の経緯に触れつつ、ファッション市場の変化について考える。
-
M・アンドリーセン氏の新ベンチャーファンド--その目的とビジネスモデル
ネットスケープの創設者であるマーク・アンドリーセン氏が新しいベンチャーファンドを立ち上げた。3億ドルの資金が特定のテクノロジ分野に絞って投資される。
-
マイクロソフトの新ブラウザ「Gazelle」の可能性--ブラウザはOSに近づけるか
マイクロソフトの新ブラウザ「Gazelle」の詳細が明らかになりつつある。ブラウザをOSのように動作させることを目指すという。Gazelleを開発する研究者に話を聞いた。
-
小型一眼レフ、ペンタックス「K-7」開発秘話--“隙のないモノづくり”の裏にあるもの
6月27日、ペンタックスのデジタル一眼レフカメラ「K-7」が発売された。K-7はどのようなコンセプトで作られたのだろうか。HOYA PENTAX イメージング・システム事業部の川内拓氏と若代滋氏に話を聞いた。
-
グーグルの電子メールセキュリティサービス「Postini」--技術者に聞く守りのしくみ
グーグルが2007年に買収した「Postini」は、高度に自動化された電子メールセキュリティサービスを提供している。メッセージの監視、スパムの特定とブロックの方法について、担当技術者とPostiniの設立者に聞いた。
-
グーグルの「Chrome OS」計画--「OSの再考」はテクノロジ業界を変えるか
グーグルは「Google Chrome OS」で、OSを根底から作り直すことを目指している。マイクロソフトとのOS分野での競争をはじめ、この動きはさまざまなことを暗示している。
CNET Japan ブログ
ストアリンク
製品ランキング
デジタルプレイヤー
-
アップル
iPod nano(8GB)
-
アップル
iPod nano(16GB)
-
ソニー
WALKMAN NW-E042(2GB)
-
アップル
iPod shuffle(1GB)
-
ソニー
WALKMAN NW-S636FK(4GB)
-
アップル
iPod classic(120GB)
-
ソニー
WALKMAN NW-S636F(4GB)
-
アップル
iPod touch(8GB)
-
ソニー
WALKMAN NW-E043(4GB)
-
ソニー
WALKMAN NW-S736F
データ協力 : GfK Marketing Services Japan
CNET_ID
メンバー限定サービスをご利用いただく場合、このページの上部からログイン、またはCNET_ID登録(無料)をしてください。
- CNET Networks Japan: ZDNet Japan | CNET Japan | VENTURE VIEW | GameSpot Japan | Tetsudo.com
- USA Business Sites: BNET.com | CNET.com | CNET Channel | Download.com | News.com | TechRepublic | ZDNet.com |
- International Business Sites : Asia | Australia | China | France | Germany | Korea | Taiwan | UK
シーネットネットワークスジャパンについて Copyright © 2009 CNET Networks, Inc., a CBS Company. All rights reserved. 個人情報保護方針 | 利用規約 | 訂正 | 広告について | 人材募集 |