BEA WebLogicに複数の脆弱性、DoS攻撃などを受ける恐れ

[ITmedia]

　米BEA Systemsは5月24日付で、同社のWebアプリケーションサーバ「BEA WebLogic Server」に複数の脆弱性が存在することを明らかにし、パッチの提供を開始した。

　今回公表された脆弱性は全部で11種類。BEA WebLogic Server／Express 6.1 Service Pack 6以前から同7.0 SP6、8.1 SP4まで影響を受ける。ただし、すべての脆弱性があらゆるバージョンに存在するわけではなく、問題によっては一部のバージョンにしか存在しないものもある。

　詳細までは明らかにされていないが、脆弱性の中には、リモートからのDoS攻撃を受けて処理が行えなくなるもの（バージョン6.1 SP4以前に影響）、細工を施したCookieを通じてDoS状態に陥るもの（7.0 SP5以前に影響）、クロスサイトスクリプティングの脆弱性（7.0 SP6および8.1 SP4以前に影響）のほか、セキュリティ制限の回避や権限昇格、パスワード情報の露出といったものが含まれている。

　BEA Systemsではユーザーに対し、最新のサービスパック（主要なプラットフォームの場合、バージョン 6.1ではSP7、7.0ではSP6、8.1ではSP4）を適用し、その上で個別パッチを適用するか、アドバイザリに記された回避策を取るよう推奨している。

　なお、日本語での情報も、こちらで提供されている。