logo

WebLogic Serverに情報漏えいの脆弱性--JPCERT/CCが警告

  • このエントリーをはてなブックマークに追加

 有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は7月18日、WebLogic ServerおよびWebLogic Expressにディレクトリトラバーサルの脆弱性が確認されたと発表した。これらの製品はアプリケーションサーバであり、BEA Systemsから提供されていたが、2008年4月の買収により現在はオラクルが提供している。

 この脆弱性の影響を受けるシステムは、7月15日以前の製品に付属するApache、Sun、Microsoft IISウェブサーバー用プラグインで、具体的には「Apache 用プラグイン」「NSAPI(Netscape Server Application Program Interface)用プラグイン」「ISAPI(Internet Server Application Program Interface)用プラグイン」となる。

 脆弱性が悪用されると、遠隔の第三者によりWebLogic ServerおよびWebLogic Expressが設置されているサーバ内のファイルを認証なしで閲覧され、ファイルの内容が意図せず漏えいする可能性がある。

 なお、オラクルではこの脆弱性を解消する最新版のプラグインを公開しており、該当するユーザーはアップデートするよう呼びかけている。

-PR-企画特集