セキュリティアドバイザリ
作成者: Oracle Corporation

セキュリティ勧告: (CVE-2009-1012)

概要: ApacheおよびIIS Webサーバ用WebLogicプラグインのセキュリティ脆弱性

影響を受ける製品: WebLogic Server

Oracleでは、潜在的なセキュリティの問題を最も緊急度の高い問題として取り扱い、お客様のすべての資産のセキュリティを確保するために可能な限りの措置を講じます。結果として、弊社では以下の対処策を強く提案します。
I. 以下の勧告に目を通します。

II. 対処方法を適用します。

III. 今後のセキュリティ勧告に関心をお持ちのユーザをご存知の場合は、この勧告に含まれる登録に関する手順をぜひ転送してください。

I. 勧告

この脆弱性により、ApacheまたはIIS用WebLogicプラグインを使用して構成されたApacheまたはIIS Webサーバを使用するWebLogic Serverアプリケーションの可用性、機密性、完全性が影響を受ける可能性があります。この脆弱性は、認証なしにリモートから悪用される可能性があります。つまり、ユーザ名やパスワードの入力を必要とせずに、ネットワークを通じて悪用される可能性があります。


II. 影響およびCVSS評価

CVSS評価値: 10.0
攻撃元区分 (AV): ネットワーク
攻撃条件の複雑さ (AC): 低
攻撃前の認証要否 (Au): なし
影響: 機密性、完全性、可用性の全体が影響を受ける
CVSS基本値区分: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

10.0は、Web Serverをrootとして実行している場合のCVSS基本値です。これは、完全なマシンのテイクオーバーが発生するためです。Web Serverをrootとして実行していない場合は、完全なマシンのテイクオーバーが発生しないため、CVSS基本値は7.5となります。

Usage of CVSS by Oracle:
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.htm


III. 影響を受けるバージョン

この脆弱性の影響を受けるのは、WebLogic ServerおよびWebLogic Expressの次に示すバージョンです。

2009年4月14日以前のApacheおよびISAPI用プラグインが含まれる次のバージョン:

  • Oracle WebLogic Server 10.3
  • Oracle WebLogic Server 10.0のメンテナンスパック1までの全リリース
  • Oracle WebLogic Server 9.2のメンテナンスパック3までの全リリース
  • Oracle WebLogic Server 9.1
  • Oracle WebLogic Server 9.0
  • Oracle WebLogic Server 8.1のサービスパック6までの全リリース
  • Oracle WebLogic Server 7.0のサービスパック7までの全リリース

IV. 対処方法

ApacheおよびIIS Webサーバ用WebLogic Serverプラグイン:

以下の通り、Web Server Pluginパッチ8343141をMetalinkからダウンロードして、適用してください。
  • Oracle Metalinkにログインして、'パッチと更新版' のタブを選択してください。
  • '単純検索' をクリックしてください。
  • '検索基準' のリストから 'パッチ番号/名称' を選択してください。
  • パッチ番号を入力してください。パッチはWLS 10.3に対してアップロードされ、zipファイルにはすべてのプラットフォーム用のパッチが含まれます。
  • '実行' をクリックしてください。
  • 'ダウンロード' をクリックしてパッチをダウンロードし、zipファイルに含まれているreadmeファイルの指示に従ってパッチをインストールします。
注: WebLogicプラグインにはすべてのバグ修正が累積的に含まれており、したがって、過去にリリースされたすべての勧告とCVE-2009-1016の修正が含まれています。これらのプラグインは、すべてのバージョンのWebLogic Serverに対して互換性があります。


セキュリティに関する伝達方針

Oracleは、当社のすべてのセキュリティ勧告で推奨される修正をお客様が適用されることを強く提案します。またOracleは、お客様にすべてのサービス/メンテナンスパックをリリース後直ちに適用していただくことも強く要請します。サービス/メンテナンスパックには、以前の各サービス/メンテナンスパックに加えて、製品の各バージョンに対するすべてのバグ修正が累積的に含まれています。サービス/メンテナンスパックおよびサービス/メンテナンスパックについての情報は次の場所で公開しています。
http://www.oracle.com/technology/global/jp/software/products/ias/bea_main.html

注: WebLogic ServerおよびWebLogic Expressのセキュリティについての情報は、 http://otndnld.oracle.co.jp/document/products/wls/docs103/security.htmlをご覧ください。特定のプロダクション環境のセキュリティに関する情報については、 http://otndnld.oracle.co.jp/document/products/wls/docs103/lockdown/index.htmlをご覧ください。Oracleは、サーバのデプロイメントが安全にコンフィグレーションされていることをお客様が確信できるように、このドキュメントに再度目を通されることを強くお勧めします。

Oracle製品にセキュリティ関連の問題が存在する場合、Oracleは必要な勧告および指示を、適切な対処策とともに配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先事項ですので、セキュリティ関連の問題はすべて包み隠さずはっきりとお伝えすることを約束します。

過去のすべての勧告は、
http://www.oracle.com/technology/global/jp/deploy/security/beaarchive.htmlでご覧いただけます。

製品の勧告の配信登録を新しく希望するユーザは、
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htmの登録に関する指示に従ってください。

セキュリティ関連の問題をOracleに報告するには、
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htmの指示に従ってください。