OracleのWebLogicに未解決の脆弱性報告、4月に公開した対策パッチが不完全だった可能性も
OracleのWebLogicに未解決の脆弱性があったとセキュリティ機関SANS Internet Storm Centerが同社のブログで報告した。Oracleが2018年4月に公開した対策パッチが不完全だった可能性が指摘されている。
セキュリティ機関SANS Internet Storm Centerは2019年4月25日(現地時間)、OracleのWebアプリケーションサーバ「WebLogic」に未解決の脆弱(ぜいじゃく)性が報告されたことを同社のブログで報告した。今回の脆弱性は、中国企業によって発見され、中国国家脆弱性データベースに情報が掲載された。影響はWebLogicの現行バージョンも含めた全バージョンに及ぶという。
この脆弱性については、Oracleが2018年4月の「クリティカルパッチアップデート」(CPU)で修正したはずの、WLSコアコンポーネントの脆弱性(CVE-2018-2628)と一致するとの指摘もある。この脆弱性の危険度は、共通脆弱性評価システム(CVSS)で「9.8」(最大値は10.0)と極めて高い。そのため今回Oracleのパッチが、不完全だった可能性がある。
中国のセキュリティ企業KnownSecは2019年4月21日、この脆弱性について報告し、WebLogicの「wls9_async」「wls-wsat」コンポーネントにデシリアライズの脆弱性があり、悪用されればリモートでコードを実行される恐れがあると指摘した。当面の対策として、「wls9_async_response.war」「wls-wsat.war」を削除して、WebLogicサービスを再起動する方法などを紹介している。
Oracle製品の脆弱性を修正する四半期に一度のCPUは、2019年4月16日に公開されたばかり。次のCPU公開は2019年7月16日になる予定で、Oracleが定例外のアップデートで対処する可能性もある。
関連記事
- 米Oracle、定例セキュリティ更新プログラム公開 データベースやFusion Middlewareに深刻な脆弱性
Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱性が修正された。 - Oracle、定例セキュリティ更新プログラムを公開 計284件の脆弱性を修正
Database ServerやJava SEをはじめ、Oracleの多数の製品を対象として、合計で284件の脆弱性を修正している。 - Google Chromeの脆弱性、実は「ゼロデイ」だった
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。 - Windowsに未解決の脆弱性報告、任意のコード実行の恐れ
脆弱性はVCardファイル(VCF)の処理に起因する。悪用されれば、リモートの攻撃者に任意のコードを実行される恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.