作成者: BEA Systems Inc.
概要: クリアテキストのパスワードを防ぐためのパッチの提供
影響を受ける製品: BEA WebLogic ServerおよびWebLogic Express
脅威レベル: 低
重大度: 中
WebLogic ServerおよびWebLogic Expressの特定のバージョンにおいて、セキュリティ脆弱性の原因となる可能性がある問題が、最近になって確認されました。この問題を修正するためのパッチが提供されています(後続のセクションIIを参照)。BEA Systemsでは、潜在的なセキュリティの問題を最も緊急度の高い問題として取り扱い、お客様のすべての資産のセキュリティを確保するために可能な限りの措置を講じます。結果として、弊社では以下の対処策を強く提案します。
I. 以下の勧告に目を通します。
II. 対処方法を適用します。
III. 今後のセキュリティ勧告に関心をお持ちのユーザをご存知の場合は、この勧告に含まれる、登録に関する手順をぜひ転送してください。
I. 勧告
この脆弱性は、BEA WebLogic ServerおよびWebLogic Expressにおいて確認された、いくつかのクリアテキストパスワードに関するものです。以下のパスワードが確認されました。- JDBCConnectionPoolRuntimeMBeanのパスワードは、weblogic.Adminを通してクリアテキストで表示されていました。パスワードフィールドは、適切に制限されていました。ここでの主な問題は、特権のあるユーザの画面に表示されているパスワードを、覗き見ることができるということでした。
- デフォルトのCredentialMapperは、パスワードをディスクにクリアテキストで保管していました。ディスクファイルにアクセスすることができ、バイナリデータファイルからパスワードを抽出する方法を知っている攻撃者は、この問題を悪用できました。
- パスワードの暗号化に関するWebLogic ServerおよびWebLogic Expressの内部的ないくつかのシークレットに、特権を持たないユーザでもアクセスできる可能性がありました。これらのパスワードを入手し、WebLogicの暗号アルゴリズムの内部について多くの知識を持ち、暗号化されたパスワードを含むファイルにアクセスできる攻撃者は、パスワードを盗み出すことができました。これには、config.xml、filerealm.properties、およびweblogic-rar.xmlに格納されているパスワードも含まれます。
- WebLogic ServerおよびWebLogic Express 7.0、7.0.0.1(全プラットフォーム対象)
II. 対処方法
BEA Systemsでは、以下の一連の対処方法に従うことを強く推奨します。適切なサービスパックを適用します。
- WebLogic ServerおよびWebLogic Express 7.0、7.0.0.1の場合
- サービスパック2にアップグレードし、次のパッチを適用します。
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR104520_700sp2.zip - サービスパック3が利用できるようになれば、サービスパック2とこのパッチの代わりに、それを使用できます。
- サービスパック2にアップグレードし、次のパッチを適用します。
http://commerce.beasys.com/downloads/weblogic_server.jsp#wls
注: BEA WebLogic ServerおよびWebLogic Expressのセキュリティについての情報は、 http://edocs.beasys.co.jp/e-docs/wls/docs81/security.htmlをご覧ください。特定のプロダクション環境のセキュリティに関する情報については、 http://edocs.beasys.co.jp/e-docs/wls/docs81/lockdown/index.htmlをご覧ください。弊社では、サーバのデプロイメントが安全にコンフィグレーションされていることをお客様が確信できるように、このドキュメントに再度目を通されることを強くお勧めします。
III. セキュリティに関する伝達方針
BEA製品にセキュリティ関連の問題が見つかった場合、BEA Systemsは勧告および適切な対策を示した指示を配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先事項ですので、セキュリティ関連の問題はすべて包み隠さずはっきりとお伝えすることを約束します。BEAは、製品のセキュリティに関する勧告のみを目的とした、パーミッションベースのメーリングリストを開設いたしました。ユーザがこのメーリングリストに参加しており、そのユーザが利用しているBEA製品にセキュリティ関連の問題が存在する場合、BEAは必要な勧告および指示を、適切な対処策とともに電子メールで配信させていただく方針です。
このメッセージは、BEA WebLogicセキュリティ勧告に参加されているお客様に配信されています。メーリングリストにご登録いただきありがとうございます。
お客様のサイトにセキュリティ関連の問題を担当されるユーザが他にもいる場合は、次のURLでの登録をお勧めください。
http://contact2.bea.com/bea/www/advisories/login.jsp
IV. セキュリティ関連の問題の報告
セキュリティ関連の問題をBEA Systemsに報告するには、 secalert@bea.comまで電子メールをお送りいただくか、 https://support.bea.com/application_content/product_portlets/securityadvisories-ja/index.htmlの指示に従ってください。セキュリティ関連の問題の報告はすべて直ちに確認され、お客様のすべての資産の継続的なセキュリティを確保するために必要なあらゆる措置が講じられます。この勧告の信頼性についての疑問または懸念がありましたら、BEAテクニカルサポート( support@bea.com)までご連絡ください。
ご協力ありがとうございます。
BEA Systems, Inc.
Printer View