OracleはOracle WebLogic Node Managerに存在するセキュリティホールを修正する定例外のパッチを公開し、攻撃者はこの脆弱性を悪用して、ユーザー名とパスワードを必要としないネットワーク越しのリモート攻撃を行うことができると警告している。
このパッチのリリースは、最近行われたWeek of Web Server Bugsの一部として、攻撃コードが一般に公開されたことを受けて行われたものだ。
以下は、Oracleのアドバイザリからの抜粋だ。
この脆弱性の悪用に成功すると、対象となったWindows上のサーバが完全なセキュリティ侵害を受ける可能性がある。他のプラットフォーム(UNIX、Linuxなど)では、攻撃者が標的となったサーバで、WebLogicのサーバプロセスと同じ特権を得る可能性がある。この種の脆弱性は、慎重を要するプロセスやアプリケーションを実行するオペレーティングシステムでは、可能な限り「最小特権」のみを用いる必要があることを浮き彫りにするものだ。さらに、多くの組織ではファイアウォールのポリシでNode Managerの管理ポートに対する外部ユーザーからの接続を禁止しているため、不特定のインターネットユーザーによるこの脆弱性の悪用はできないことも記しておきたい。
Oracleはこのパッチをただちに適用することを「強く推奨」している。
Oracleのパッチ情報に対するリンクはここだ。また、ここにEvgeny Legerov氏が公開した攻撃コードがある。
Oracleが四半期に一度のCritical Patch Updateのスケジュールを外してパッチを公開するのは異例だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
