※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Oracle WebLogic Server コンポーネントは、多くの商用ウェブサイトや企業アプリケーションの構築等に利用されているソフトウェア製品です。
この Oracle WebLogic Server において、遠隔の攻撃者がサーバの実行権限で任意のコードを実行する可能性がある脆弱性が確認されています。
なお、本脆弱性は主に次の要因から、脆弱性の深刻度を示すCVSSv3値が9.8とされています。
- ネットワークを介して外部から攻撃可能であること
- 認証が不要であり、誰でも攻撃できること
- 任意のコード実行が可能で、攻撃された場合の影響が大きいこと
IPAでは上記の要因から、速やかな対策実施の検討を推奨します。
影響を受けるシステム
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.3.0
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
対策
1.脆弱性の解消 - 修正プログラムを適用する
ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンクの「Patch Availability Document」よりご確認ください。- Oracle Security Alert Advisory - CVE-2019-2729
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
参考情報
- Oracle Security Alert Advisory - CVE-2019-2729
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html - Oracle WebLogic Server の脆弱性 (CVE-2019-2729) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190028.html
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
2019年6月19日 | 掲載 |
---|