アーカイブ

Oracle WebLogic Server の脆弱性(CVE-2019-2725)について

最終更新日:2019年4月28日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Oracle WebLogic Server コンポーネントは、多くの商用ウェブサイトや企業アプリケーションの構築等に利用されているソフトウェア製品です。

この Oracle WebLogic Server において、遠隔の攻撃者がサーバの実行権限で任意のコードを実行する可能性がある脆弱性が確認されています。

なお、本脆弱性は主に次の要因から、脆弱性の深刻度を示すCVSSv3値が9.8とされています。

  • ネットワークを介して外部から攻撃可能であること
  • 認証が不要であり、誰でも攻撃できること
  • 任意のコード実行が可能で、攻撃された場合の影響が大きいこと

加えて、攻撃コードが公開されていることや、攻撃の可能性を探索する活動が報告されています。よって、IPAでは上記の要因から、速やかな対策実施の検討を推奨します。

影響を受けるシステム

  • Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0

※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

対策

1.脆弱性の解消 - 修正プログラムを適用する

ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンクの「Patch Availability Document」よりご確認ください。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2018年4月28日 掲載