Oracleは、悪用されるとユーザー名とパスワードを必要としないネットワーク越しの攻撃が可能になるサーバ脆弱性に対して、パッチをリリースした。
Oracleは米国時間2月4日、今回のパッチは「Oracle WebLogic Server」の「Node Manager」コンポーネントに含まれる脆弱性を修正し、同ソフトウェアの最新バージョン群が対象となる、とセキュリティ情報で述べた。
Oracleが深刻な脆弱性に関して定例外パッチをリリースするのは、極めて異例である。なぜなら、同社は通常、3カ月に1度の定例クリティカルパッチアップデートをリリースすることを選択するからだ。
Oracleのセキュリティ情報によれば、バージョン9.0以降のWindows版WebLogic Serverでは、この脆弱性は共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)で深刻度が最も高い10と評価されたという。LinuxおよびUNIXのシステムではこの脆弱性の影響がより小さいため、両OS版のCVSSスコアはもっと低い。
Oracleは顧客に対し、同パッチを即座に適用することを勧めている。さらに、Oracleのパッチはサブコンポーネントレベルで累積的なものなので、同社が2010年1月以前に公開したフィックスも実装するよう顧客に促している。
Oracleによれば、ファイアウォールや、そのほかの何らかのネットワークアクセスコントロール機器を通してNode Managerへのアクセスを制限することで、この問題を回避することも可能だという。このポートへのアクセスは、信頼されたユーザーやサブネットのみに認められるべきである、とOracleは付け加えた。
セキュリティ研究家のEvgeny Legerov氏は1月、「Week of Web Server Bugs」の一部として、WebLogic Serverのセキュリティホールを突くエクスプロイトを公開した。このバグは、複数のコマンドをサポートするオプションのNode Managerユーティリティ内に存在しているが、一部のコマンド実行の際にユーザー認証を要求しないという問題がある、とLegerov氏はブログ投稿で述べた。Oracleはセキュリティ情報でLegerov氏のバグに言及しなかったため、今回のパッチでそれが修正されるかどうかは不明だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
