WebLogic Sever (7.0〜10.3.2) の脆弱性 (CVE-2010-0073) に対するセキュリティ アラート、および修正が、数日前にリリースされています。WebLogic Severをお使いのお客様、特にインターネット上でお使いのお客様は、早急に詳細を確認し、修正を適用してください。

• OTN > Oracle Security Alert for CVE-2010-0073
  • http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0073.html

• ITmedia > Oracleが異例の臨時パッチ、WebLogic Serverに深刻な脆弱性 (2010/02/08)
  • http://www.itmedia.co.jp/enterprise/articles/1002/08/news016.html

• The Oracle Global Product Security Blog > Security Alert For CVE-2010-0073 Released (2010/02/04)
  • http://blogs.oracle.com/security/2010/02/security_alert_for_cve-2010-00.html

(このブログ エントリの適当訳)

こんにちは、再びEric Mauriceです。

オラクルは、Oracle WebLogic Server ノード マネージャ (Node Manager) に影響を与える 脆弱性 CVE-2010-0073の修正を伴うセキュリティ アラート をリリースしたところです。この脆弱性は最近公表されたもので、この脆弱性を発見した組織は、それに関する詳細な技術情報を公開する前に、オラクルに連絡しようとしませんでした。

この脆弱性の利用に成功すると、Windows上の対象サーバの完全なセキュリティ侵害を引き起こす可能性があります。(Unix、Linuxなど) 他のプラットフォーム上では、攻撃者が、WebLogic Serverプロセスと同じ権限で対象サーバにアクセスする可能性があります。この種の脆弱性は、慎重に扱うべきプロセスやアプリケーションを実行するためのOS上ではできる限りの「最小権限」を使用する必要性を、さらに際立たせます。加えて、多くの組織では、外部ユーザによるノード マネージャ管理ポートへの接続を阻止するファイヤウォール ポリシーを持っており、それが匿名のインターネット ユーザによる脆弱性の利用を阻止することに注意してください。

WebLogicをお使いのお客様ができる限り早く この修正 を適用し、場合によってはWebLogicノード マネージャへのTCP/IPアクセスを数少ない信頼できるスタッフだけにさらに制限するために、ネットワーク アクセス ポリシーを見直すことを、オラクルは強く推奨します。

さらなる情報:

• (外部のセキュリティ研究者との連携時のオラクルのポリシーを含む) オラクルのセキュリティ脆弱性修正ポリシー:
  • http://www.oracle.com/technology/deploy/security/securityfixlifecycle.html

• Critical Patch Updatesとセキュリティ アラートのページ:
  • http://www.oracle.com/technology/deploy/security/alerts.htm (英語)
  • http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm (日本語)

• オラクル セキュリティ通知の購読方法に関する情報:
  • http://www.oracle.com/technology/deploy/security/securityemail.html