旧BEAのWebLogicサーバ製品にバッファオーバーフローの脆弱性

　有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）が8月1日、Oracle WebLogic（旧BEA WebLogic）Server および WebLogic Express Applicaiton ServerのWebLogic Apache connectorプラグインにバッファオーバーフローの脆弱性が確認されたことを明らかにした。

　これらの製品には、Apacheウェブサーバと連動させるためのWeblogic Apache connectorプラグイン「mod_wl」が搭載されており、このプラグインに、細工されたPOSTリクエストを処理する際にバッファオーバーフローを引き起こす脆弱性が存在する。この脆弱性に関する検証コードも公開されている。

　この問題が悪用されると、遠隔の第三者によって任意のコードが実行される可能性がある。7月31日現在、この脆弱性への対策方法は公開されていない。しかしOcacleでは、この脆弱性を軽減する回避策として、Apacheのhttpd.confにLimitRequestLine 4000のパラメータを追加する、mod_securityモジュールを導入するといった対策を公開している。

　この脆弱性の影響を受けるシステムは以下の通り。

• WebLogic Server 10.0 Maintenance Pack 1 およびそれ以前
• WebLogic Server 9.2 Maintenance Pack 3 およびそれ以前
• WebLogic Server 9.1
• WebLogic Server 9.0
• WebLogic Server 8.1 Service Pack 6 およびそれ以前
• WebLogic Server 7.0 Service Pack 7 およびそれ以前
• WebLogic Server 6.1 Service Pack 7 およびそれ以前