※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Oracle WebLogic Server コンポーネントは、多くの商用ウェブサイトや企業アプリケーションの構築等に利用されているソフトウェア製品です。
この Oracle WebLogic Server において、遠隔の攻撃者がサーバの実行権限で任意のコードを実行する可能性がある脆弱性が確認されています。
脆弱性の深刻度を示す CVSSv3.1 の値が9.8とされています。
- ネットワークを介して外部から攻撃可能であること
- 認証が不要であり、誰でも攻撃できること
- 任意のコード実行が可能で、攻撃された場合の影響が大きいこと
加えて、攻撃コードが公開されているため、IPAでは上記の要因から、速やかな対策実施の検討を推奨します。
影響を受けるシステム
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 14.1.1.0.0
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
対策
1.脆弱性の解消 - 修正プログラムを適用する
ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンク先よりご確認ください。- Oracle Security Alert Advisory - CVE-2020-14750
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
参考情報
- Oracle Security Alert Advisory - CVE-2020-14750
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。更新履歴
2020年11月5日 | 掲載 |
---|