Apache Commonsライブラリの脆弱性問題、Oracleなどが対応表明
OracleはWebLogic Serverの脆弱性に関するセキュリティ情報を公開し、当面の回避策を紹介した。
OracleのWebLogicやIBM WebSphereなどの主要ミドルウェア全てに影響を及ぼすとされるJavaライブラリの脆弱性情報とコンセプト実証コードが公開された問題で、Oracleなどの各社が対応を表明している。
この問題では9カ月あまり前に公表された脆弱性情報をもとに、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日に悪用方法を解説して危険性を指摘。WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、脆弱性を突いてリモートでコードを実行できるコンセプト実証コードを公開していた。
脆弱性はApache Software FoundationのプロジェクトであるApache CommonsのCollectionsライブラリにおける逆シリアル化の問題に起因する。同ライブラリは多数のOracle製品やオープンソースプロジェクトなどに広く利用されている。
Apache Software Foundationは10日のブログで、この問題の経緯と対応について説明した。Oracleも同日、WebLogic Serverの脆弱性に関するセキュリティ情報を公開し、当面の回避策を紹介している。WebLogic Serverはバージョン10.3.6.0、12.1.2.0、12.1.3.0、12.2.1.0が影響を受けるという。
Jenkinsは11日にバージョン1.638と1.625.2を公開して、この問題を修正したことを明らかにした。
関連記事
- Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 - Oracleが定例パッチ公開、DBやJavaなどの脆弱性を修正
CVSS評価値が最大の「10.0」となる深刻な脆弱性など計154件の問題に対処した。 - SAP HANAに脆弱性情報、世界中の企業に影響か
悪用された場合、システムを攻撃者に制御され、企業情報の盗難、ビジネスプロセスの障害などの被害が発生する恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.