速報
» 2019年04月26日 12時30分 公開

OracleのWebLogicに未解決の脆弱性報告、4月に公開した対策パッチが不完全だった可能性も

OracleのWebLogicに未解決の脆弱性があったとセキュリティ機関SANS Internet Storm Centerが同社のブログで報告した。Oracleが2018年4月に公開した対策パッチが不完全だった可能性が指摘されている。

[鈴木聖子,ITmedia]

 セキュリティ機関SANS Internet Storm Centerは2019年4月25日(現地時間)、OracleのWebアプリケーションサーバ「WebLogic」に未解決の脆弱(ぜいじゃく)性が報告されたことを同社のブログで報告した。今回の脆弱性は、中国企業によって発見され、中国国家脆弱性データベースに情報が掲載された。影響はWebLogicの現行バージョンも含めた全バージョンに及ぶという。

SANS Internet Storm Center

 この脆弱性については、Oracleが2018年4月の「クリティカルパッチアップデート」(CPU)で修正したはずの、WLSコアコンポーネントの脆弱性(CVE-2018-2628)と一致するとの指摘もある。この脆弱性の危険度は、共通脆弱性評価システム(CVSS)で「9.8」(最大値は10.0)と極めて高い。そのため今回Oracleのパッチが、不完全だった可能性がある。

 中国のセキュリティ企業KnownSecは2019年4月21日、この脆弱性について報告し、WebLogicの「wls9_async」「wls-wsat」コンポーネントにデシリアライズの脆弱性があり、悪用されればリモートでコードを実行される恐れがあると指摘した。当面の対策として、「wls9_async_response.war」「wls-wsat.war」を削除して、WebLogicサービスを再起動する方法などを紹介している。

 Oracle製品の脆弱性を修正する四半期に一度のCPUは、2019年4月16日に公開されたばかり。次のCPU公開は2019年7月16日になる予定で、Oracleが定例外のアップデートで対処する可能性もある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -