セキュリティアドバイザリ
セキュリティ勧告: (BEA01-12.01)

作成者: BEA Systems Inc.

概要: BEA WebLogic ServerおよびWebLogic Express用のCSR Generatorサーブレットに関するドキュメントの更新

影響を受ける製品: BEA WebLogic Server 4.5.1から6.1サービスパック1までの全バージョン

[Random String] フィールドにランダム文字列を入力することの重要性を強調するために、CSR Generatorサーブレットに関するドキュメントが更新されています。このフィールドの重要性をより的確に説明するために、Webサイト上のドキュメントが更新されています。以下の対処策を強く推奨します。

I. 勧告

BEA WebLogic Server 4.5.1から6.1サービスパック1までのすべてのバージョンにおいて、CSR Generatorサーブレットに関するドキュメントの内容が潜在的なセキュリティ脆弱性につながる可能性が、最近になってFinance online Gmbhのコンサルタントから報告されました。

証明書ベースのセキュリティは、証明書に格納されるパブリックキーに対応するプライベートキーを推測することが計算上困難であるという事実に依拠しています。プライベートキーの推測の困難さは、パブリックキー/プライベートキーのペアを生成するために使われるシードのランダムさに比例します。ランダム文字列(適切な長さとランダムさを備えた文字列)を使用せずにCSR(Certificate Signature Request: 証明書署名リクエスト)Generatorサーブレットを使用すると、プライベートキーの推測の困難さが著しく低下する可能性があります。

攻撃者が実際にプライベートキーを推測できる確率は、仮にランダム文字列を使用しなかった場合でもきわめて低いものです。攻撃対象がWebLogic ServerまたはWebLogic Expressを使用しており、なおかつ適切なランダム文字列を入力せずにCSRジェネレータを使用したという事実を攻撃者が知っている必要があります。

この勧告は、BEA WebLogic ServerおよびWebLogic Expressの以下のリリースを対象とします。
  • バージョン: BEA WebLogic Server 4.5.1から6.1サービスパック1までの全バージョン(すべてのサポート対象プラットフォーム)
CSR Generatorサーブレットは、WebLogic Server 6.1サービスパック2で改良されました。ジェネレータのシード処理は、ユーザにシードの入力を求めるのではなくサーブレットのコードによって処理されます。この変更は、WebLogic Server 7.0およびそれ以降のリリースでも有効です。

原因

証明書の生成時に [Random String] フィールドを使用しない場合、数週間のCPU時間があればプライベートキーを推測することができます。

II. 対処方法

BEAでは、以下の対処方法に従うことを推奨します。

BEA Systemsは、当社のすべてのセキュリティ勧告で推奨される修正をお客様が適用されることを強く提案します。 セキュリティ勧告のアーカイブの場所は、 https://support.bea.com/application_content/product_portlets/securityadvisories-ja/index.htmlです。

またお客様には、すべてのサービスパックをリリース後直ちに適用していただくことも推奨します。サービスパックには、以前にリリースされた各サービスパックに加えて、製品の各バージョンに対するすべてのバグ修正が累積的に含まれています。サービスパックおよびサービスパックについての情報は http://commerce.beasys.com/downloads/weblogic_server.jsp#wlsで公開しています。

注: BEA WebLogic ServerおよびWebLogic Expressのセキュリティに関する情報は、 http://edocs.beasys.co.jp/e-docs/wls61/security/lockdown.htmlで公開されています。弊社では、サーバのデプロイメントが安全にコンフィグレーションされていることをお客様が確信できるように、このドキュメントに再度目を通されることを強くお勧めします。

セキュリティの評価を自動化するためのツールを、BEA Evaluation Centerからダウンロードしていただけます。

III. セキュリティに関する伝達方針

BEA製品にセキュリティ関連の問題が見つかった場合、BEA Systemsは勧告および適切な対策を示した指示を配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先事項ですので、セキュリティ関連の問題はすべて包み隠さずはっきりとお伝えすることを約束します。

BEAは、製品のセキュリティに関する勧告のみを目的とした、パーミッションベースのメーリングリストを開設いたしました。ユーザがこのメーリングリストに参加しており、そのユーザが利用しているBEA製品にセキュリティ関連の問題が存在する場合、BEAは必要な勧告および指示を、適切な対処策とともに電子メールで配信させていただく方針です。

このメッセージは、BEA WebLogicセキュリティ勧告に参加されているお客様に配信されています。メーリングリストにご登録いただきありがとうございます。

お客様のサイトにセキュリティ関連の問題を担当されるユーザが他にもいる場合は、次のURLでの登録をお勧めください。
http://contact2.bea.com/bea/www/advisories/login.jsp


IV. セキュリティ関連の問題の報告

BEA製品のセキュリティに関する問題の可能性を報告していただける電子メールアドレスを設けました。セキュリティの問題に関する報告は、 security-report@bea.comまでお送りください。このアドレスに対するすべてのメールは直ちに確認され、お客様のすべての資産の継続的なセキュリティを確保するために必要なあらゆる措置が講じられます。

このメッセージの信頼性についての疑問または懸念がありましたら、BEAテクニカルサポート( support@bea.com)までご連絡ください。

ご協力ありがとうございます。
BEA Systems, Inc.