logo

オラクル、定例外パッチをリリース--WebLogic Serverの深刻な脆弱性を修正

文:Tom Espiner(ZDNet UK) 翻訳校正:編集部2010年02月09日 11時11分
  • このエントリーをはてなブックマークに追加

 Oracleは、悪用されるとユーザー名とパスワードを必要としないネットワーク越しの攻撃が可能になるサーバ脆弱性に対して、パッチをリリースした。

 Oracleは米国時間2月4日、今回のパッチは「Oracle WebLogic Server」の「Node Manager」コンポーネントに含まれる脆弱性を修正し、同ソフトウェアの最新バージョン群が対象となる、とセキュリティ情報で述べた。

 Oracleが深刻な脆弱性に関して定例外パッチをリリースするのは、極めて異例である。なぜなら、同社は通常、3カ月に1度の定例クリティカルパッチアップデートをリリースすることを選択するからだ。

 Oracleのセキュリティ情報によれば、バージョン9.0以降のWindows版WebLogic Serverでは、この脆弱性は共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)で深刻度が最も高い10と評価されたという。LinuxおよびUNIXのシステムではこの脆弱性の影響がより小さいため、両OS版のCVSSスコアはもっと低い。

 Oracleは顧客に対し、同パッチを即座に適用することを勧めている。さらに、Oracleのパッチはサブコンポーネントレベルで累積的なものなので、同社が2010年1月以前に公開したフィックスも実装するよう顧客に促している。

 Oracleによれば、ファイアウォールや、そのほかの何らかのネットワークアクセスコントロール機器を通してNode Managerへのアクセスを制限することで、この問題を回避することも可能だという。このポートへのアクセスは、信頼されたユーザーやサブネットのみに認められるべきである、とOracleは付け加えた。

 セキュリティ研究家のEvgeny Legerov氏は1月、「Week of Web Server Bugs」の一部として、WebLogic Serverのセキュリティホールを突くエクスプロイトを公開した。このバグは、複数のコマンドをサポートするオプションのNode Managerユーティリティ内に存在しているが、一部のコマンド実行の際にユーザー認証を要求しないという問題がある、とLegerov氏はブログ投稿で述べた。Oracleはセキュリティ情報でLegerov氏のバグに言及しなかったため、今回のパッチでそれが修正されるかどうかは不明だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]