Oracleが異例の臨時パッチ、WebLogic Serverに深刻な脆弱性

WebLogic Serverの深刻な脆弱性情報を公表され、Oracleが異例の臨時パッチをリリースした。

[ITmedia]

　米Oracleが異例の臨時セキュリティパッチをリリースした。外部の組織がWebLogic Serverの深刻な脆弱性情報を公開したことに対応するもので、できるだけ早期のパッチ適用を強く促している。

　2月4日付でOracleが公開したセキュリティ情報によると、脆弱性はOracle WebLogic ServerのNode Managerコンポーネントに存在する。この脆弱性は認証なしでリモートから悪用できる可能性があり、例えばユーザーネームとパスワードを入力しなくても、ネットワークを介して悪用される恐れがあるという。

　危険度はCVSSのベーススコアで最も高い10.0となっている。脆弱性を突かれた場合、Windowsサーバを完全に制御されてしまう恐れがあり、UNIX、Linuxなどでは攻撃者がWebLogicサーバプロセスと同じ権限を取得できる可能性があるとしている。

　Oracleのセキュリティブログによれば、この脆弱性を発見した組織は、Oracleに接触を試みる前に、脆弱性に関する詳細な技術情報を公表してしまったという。

関連ホワイトペーパー

Oracle（オラクル） | WebLogic

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら