OracleはWebLogic Serverの脆弱性に関するセキュリティ情報を公開し、当面の回避策を紹介した。
OracleのWebLogicやIBM WebSphereなどの主要ミドルウェア全てに影響を及ぼすとされるJavaライブラリの脆弱性情報とコンセプト実証コードが公開された問題で、Oracleなどの各社が対応を表明している。
この問題では9カ月あまり前に公表された脆弱性情報をもとに、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日に悪用方法を解説して危険性を指摘。WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、脆弱性を突いてリモートでコードを実行できるコンセプト実証コードを公開していた。
脆弱性はApache Software FoundationのプロジェクトであるApache CommonsのCollectionsライブラリにおける逆シリアル化の問題に起因する。同ライブラリは多数のOracle製品やオープンソースプロジェクトなどに広く利用されている。
Apache Software Foundationは10日のブログで、この問題の経緯と対応について説明した。Oracleも同日、WebLogic Serverの脆弱性に関するセキュリティ情報を公開し、当面の回避策を紹介している。WebLogic Serverはバージョン10.3.6.0、12.1.2.0、12.1.3.0、12.2.1.0が影響を受けるという。
Jenkinsは11日にバージョン1.638と1.625.2を公開して、この問題を修正したことを明らかにした。
Copyright © ITmedia, Inc. All Rights Reserved.