Apache Commonsライブラリの脆弱性問題、Oracleなどが対応表明

OracleはWebLogic Serverの脆弱性に関するセキュリティ情報を公開し、当面の回避策を紹介した。

» 2015年11月13日 07時38分 公開
[鈴木聖子ITmedia]

 OracleのWebLogicやIBM WebSphereなどの主要ミドルウェア全てに影響を及ぼすとされるJavaライブラリの脆弱性情報とコンセプト実証コードが公開された問題で、Oracleなどの各社が対応を表明している。

 この問題では9カ月あまり前に公表された脆弱性情報をもとに、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日に悪用方法を解説して危険性を指摘。WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、脆弱性を突いてリモートでコードを実行できるコンセプト実証コードを公開していた。

対応に乗り出したApache Software Foundation

 脆弱性はApache Software FoundationのプロジェクトであるApache CommonsのCollectionsライブラリにおける逆シリアル化の問題に起因する。同ライブラリは多数のOracle製品やオープンソースプロジェクトなどに広く利用されている。

 Apache Software Foundationは10日のブログで、この問題の経緯と対応について説明した。Oracleも同日、WebLogic Serverの脆弱性に関するセキュリティ情報を公開し、当面の回避策を紹介している。WebLogic Serverはバージョン10.3.6.0、12.1.2.0、12.1.3.0、12.2.1.0が影響を受けるという。

 Jenkinsは11日にバージョン1.638と1.625.2を公開して、この問題を修正したことを明らかにした。

詳細を明らかにしたOracle

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ