作成者: BEA Systems Inc.
概要: SNMP実装の脆弱性に対するパッチの提供
影響を受ける製品: BEA WebLogic ServerおよびWebLogic Express
このセキュリティ勧告(BEA02-16.01)のセクションIおよびIIには更新された情報が含まれます。具体的には、脆弱性を修正するためのパッチが提供されています。このセキュリティ勧告BEA02-16.01は勧告BEA02-16.00を置き換えるものであるため、古い勧告は無視してください。
I. 勧告
SNMPプロトコルの実装に関係する潜在的なセキュリティの問題が、最近になってインターネットセキュリティの専門機関であるCERT(Carnegie Mellon Software Engineering Institute center)から告知されました。http://www.cert.org/advisories/CA-2002-03.html
BEAは以下の製品における潜在的な問題を確認しました。
- BEA WebLogic ServerおよびWebLogic Express 5.1
- BEA WebLogic ServerおよびWebLogic Express 6.1(スタンドアロン版またはBEA WebLogic Enterprise 6.1の一部)
- BEA Tuxedo(SNMPエージェント/BEA Managerの有無に関係なくすべてのバージョン)
- WebLogic Enterprise(SNMPエージェント/BEA Managerの有無に関係なく、6.1を除くすべてのバージョン)
- WebLogic Server 6.0、4.51、4.5(SNMPは未サポート)
- BEA MessageQ(すべてのバージョン)
- BEA Top End(すべてのバージョン)
- BEA Object Broker(すべてのバージョン)
II. 対処方法
BEAでは、以下の一連の対処方法に従うことを強く推奨します。以下の適切なサービスパックを適用します。
- バージョン: BEA WebLogic ServerおよびWebLogic Express 6.1(スタンドアロン版およびBEA WebLogic Enterprise 6.1の一部、全プラットフォーム対象)
-
- サービスパック2を適用します。weblogic.Serverの開始時に、次のパッチがCLASSPATHの先頭にあることを確認します。また、最新のツール群(snmpget、snmpgetnext、snmpwalk、snmptrapd)を使用するためにも、次のパッチがCLASSPATHの先頭にあることを確認します。
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/snmpkit_61.jar - サービスパック3が公開された後は、サービスパック2とこのパッチの代わりにサービスパック3を利用することをお勧めします。
- サービスパック2を適用します。weblogic.Serverの開始時に、次のパッチがCLASSPATHの先頭にあることを確認します。また、最新のツール群(snmpget、snmpgetnext、snmpwalk、snmptrapd)を使用するためにも、次のパッチがCLASSPATHの先頭にあることを確認します。
- バージョン: BEA WebLogic ServerおよびWebLogic Express 5.1(スタンドアロン版およびBEA WebLogic 5.1の一部、全プラットフォーム対象)
-
- サービスパック11を適用します。weblogic.SNMPエージェントの開始時に、次のパッチがCLASSPATHの先頭にあることを確認します。また、最新のツール群(snmpget、snmpgetnext、snmpwalk、snmptrapd)を使用するためにも、次のパッチがCLASSPATHの先頭にあることを確認します。
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/snmpkit_51.jar - サービスパック12が公開された後は、サービスパック11と上記のパッチの代わりに、サービスパック12とそれに付属するSNMPエージェントのパッチを利用することをお勧めします。
- サービスパック11を適用します。weblogic.SNMPエージェントの開始時に、次のパッチがCLASSPATHの先頭にあることを確認します。また、最新のツール群(snmpget、snmpgetnext、snmpwalk、snmptrapd)を使用するためにも、次のパッチがCLASSPATHの先頭にあることを確認します。
http://commerce.beasys.com/downloads/weblogic_server.jsp#wls
注: BEA WebLogic ServerおよびWebLogic Expressのセキュリティについての情報は、 http://edocs.beasys.co.jp/e-docs/wls/docs81/security.htmlをご覧ください。特定のプロダクション環境のセキュリティに関する情報については、 http://edocs.beasys.co.jp/e-docs/wls/docs81/lockdown/index.htmlをご覧ください。
弊社では、サーバのデプロイメントが安全にコンフィグレーションされていることをお客様が確信できるように、このドキュメントに再度目を通されることを強くお勧めします。
セキュリティの評価を自動化するためのツールを、BEA Evaluation Centerからダウンロードしていただけます。
III. セキュリティに関する伝達方針
BEA製品にセキュリティ関連の問題が見つかった場合、BEA Systemsは勧告および適切な対策を示した指示を配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先事項ですので、セキュリティ関連の問題はすべて包み隠さずはっきりとお伝えすることを約束します。BEAは、製品のセキュリティに関する勧告のみを目的とした、パーミッションベースのメーリングリストを開設いたしました。ユーザがこのメーリングリストに参加しており、そのユーザが利用しているBEA製品にセキュリティ関連の問題が存在する場合、BEAは必要な勧告および指示を、適切な対処策とともに電子メールで配信させていただく方針です。
このメッセージは、BEA WebLogicセキュリティ勧告に参加されているお客様に配信されています。メーリングリストにご登録いただきありがとうございます。
お客様のサイトにセキュリティ関連の問題を担当されるユーザが他にもいる場合は、次のURLでの登録をお勧めください。
http://contact2.bea.com/bea/www/advisories/login.jsp
IV. セキュリティ関連の問題の報告
BEA製品のセキュリティに関する問題の可能性を報告していただける電子メールアドレスを設けました。セキュリティの問題に関する報告は、 security-report@bea.comまでお送りください。このアドレスに対するすべてのメールは直ちに確認され、お客様のすべての資産の継続的なセキュリティを確保するために必要なあらゆる措置が講じられます。このメッセージの信頼性についての疑問または懸念がありましたら、BEAテクニカルサポート( support@bea.com)までご連絡ください。
ご協力ありがとうございます。
BEA Systems, Inc.
Printer View