WebLogic ServerおよびWebLogic Expressに脆弱性が見つかった。修正パッチの提供がOracleに変更されている。
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンターは7月18日、旧BEA Systemsのアプリケーションサーバ「WebLogic Server」と「WebLogic Express」にディレクトリトラバーサルの脆弱性が見つかったとして、JVN(Japan Vulnerability Notes)に情報を公開した。Oracleはこの問題に対処済み。
JVNによれば、脆弱性はWebLogic ServerとWebLogic Expressに付属するApacheおよびNSAPI(Netscape Server Application Program Interface)、ISAPI(Internet Server Application Program Interface)の各プラグインに起因する。この脆弱性が悪用されると、リモートの第三者が認証なしにサーバ内のデータを閲覧できるようになる。
BEA Systemsは4月29日付けで米Oracleに買収されており、Oracleは7月15日に公開した定例の四半期アップデートでこの問題に対処している。IPAではユーザーに対し、Oracleが提供する情報を確認するように呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.