logo

旧BEAのWebLogicサーバ製品にバッファオーバーフローの脆弱性

  • このエントリーをはてなブックマークに追加

 有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)が8月1日、Oracle WebLogic(旧BEA WebLogic)Server および WebLogic Express Applicaiton ServerのWebLogic Apache connectorプラグインにバッファオーバーフローの脆弱性が確認されたことを明らかにした。

 これらの製品には、Apacheウェブサーバと連動させるためのWeblogic Apache connectorプラグイン「mod_wl」が搭載されており、このプラグインに、細工されたPOSTリクエストを処理する際にバッファオーバーフローを引き起こす脆弱性が存在する。この脆弱性に関する検証コードも公開されている。

 この問題が悪用されると、遠隔の第三者によって任意のコードが実行される可能性がある。7月31日現在、この脆弱性への対策方法は公開されていない。しかしOcacleでは、この脆弱性を軽減する回避策として、Apacheのhttpd.confにLimitRequestLine 4000のパラメータを追加する、mod_securityモジュールを導入するといった対策を公開している。

 この脆弱性の影響を受けるシステムは以下の通り。

  • WebLogic Server 10.0 Maintenance Pack 1 およびそれ以前
  • WebLogic Server 9.2 Maintenance Pack 3 およびそれ以前
  • WebLogic Server 9.1
  • WebLogic Server 9.0
  • WebLogic Server 8.1 Service Pack 6 およびそれ以前
  • WebLogic Server 7.0 Service Pack 7 およびそれ以前
  • WebLogic Server 6.1 Service Pack 7 およびそれ以前

-PR-企画特集