旧BEA製品にディレクトリトラバーサルの脆弱性Oracleの四半期パッチを参照

WebLogic ServerおよびWebLogic Expressに脆弱性が見つかった。修正パッチの提供がOracleに変更されている。

» 2008年07月18日 18時49分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンターは7月18日、旧BEA Systemsのアプリケーションサーバ「WebLogic Server」と「WebLogic Express」にディレクトリトラバーサルの脆弱性が見つかったとして、JVN(Japan Vulnerability Notes)に情報を公開した。Oracleはこの問題に対処済み。

 JVNによれば、脆弱性はWebLogic ServerとWebLogic Expressに付属するApacheおよびNSAPI(Netscape Server Application Program Interface)、ISAPI(Internet Server Application Program Interface)の各プラグインに起因する。この脆弱性が悪用されると、リモートの第三者が認証なしにサーバ内のデータを閲覧できるようになる。

 BEA Systemsは4月29日付けで米Oracleに買収されており、Oracleは7月15日に公開した定例の四半期アップデートでこの問題に対処している。IPAではユーザーに対し、Oracleが提供する情報を確認するように呼びかけている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ