オラクルのウェブサーバソフトに脆弱性--修正パッチは公開済み

  • このエントリーをはてなブックマークに追加

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は10月18日、Oracleが提供するウェブサーバソフト「Oracle iPlanet Web Server」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。

 iPlanet Web Serverの旧称は「Sun Java System Web Server」。7.0U9より前のバージョンにCSRFの脆弱性が確認されている。この問題が悪用されると、iPlanet Web Serverにログインした状態で悪意あるページを読み込んだ場合、任意のインスタンスを停止されるなどの可能性がある。

 Oracleが10月15日に公開したアップデートに修正パッチが含まれており、該当するユーザーはアップデートするよう呼びかけている。JVNでは、この脆弱性について、ネット経由からの攻撃が可能であることや、匿名もしくは認証なしで攻撃が可能であることなどから脆弱性評価を「高」としている。

  • このエントリーをはてなブックマークに追加