29日(デンマーク時間)、Secuniaは「BEA WebLogic」と、「BEA JRockit」に、複数の脆弱性が発見されたとそれぞれ公表した。
BEA WebLogicは、商用J2EEアプリケーションサーバーの代表格。同プロダクトには、情報漏洩とサービス拒否攻撃(DoS)の脆弱性が存在する。また、BEA JRockitは、Java仮想マシン(JVM)。同プロダクトには、クロスサイトスクリプティング(XSS)、サービス拒否攻撃(DoS)、システムアクセスの脆弱性が存在する。
影響を受けるバージョンは、それぞれ以下のとおり。
- BEA WebLogic Express 6.x
- BEA WebLogic Express 7.x
- BEA WebLogic Express 8.x
- BEA WebLogic Express 9.x
- BEA WebLogic Server 6.x
- BEA WebLogic Server 7.x
- BEA WebLogic Server 8.x
- BEA WebLogic Server 9.x
- BEA JRockit 1.x
BEA WebLogicの影響度は「Moderately critical」に、また「BEA JRockit 1.x」の影響度は、「Highly critical」に位置づけられている。解決策は、同社が提供するパッチを適用すること。
詳細は、下記のセキュリティーアドバイザリーを参照されたい。
- BEA WebLogic
- http://dev2dev.bea.com/pub/advisory/245
- http://dev2dev.bea.com/pub/advisory/244
- http://dev2dev.bea.com/pub/advisory/247
- http://dev2dev.bea.com/pub/advisory/246
- BEA JRockit
- http://dev2dev.bea.com/pub/advisory/249
- http://dev2dev.bea.com/pub/advisory/248
- 日本BEAシステムズによる発表
同社プロダクトを利用しているユーザーは、早期にベンダーより提供されているパッチを適用するシステムメンテナンスを実施されたい。
