セキュリティアドバイザリ
作成者: Oracle Corporation

セキュリティ勧告: (CVE-2009-1016)

概要: Apache、SunおよびIIS Webサーバ用WebLogicプラグインのセキュリティ脆弱性

影響を受ける製品: WebLogic Server

Oracleでは、潜在的なセキュリティの問題を最も緊急度の高い問題として取り扱い、お客様のすべての資産のセキュリティを確保するために可能な限りの措置を講じます。結果として、弊社では以下の対処策を強く提案します。
I. 以下の勧告に目を通します。

II. 対処方法を適用します。

III. 今後のセキュリティ勧告に関心をお持ちのユーザをご存知の場合は、この勧告に含まれる登録に関する手順をぜひ転送してください。

I. 勧告

この脆弱性により、Apache、Sun、または IIS Webサーバ用WebLogicプラグインを使用して構成されたApache、Sun、または IIS Webサーバを使用するWebLogic Serverアプリケーションの可用性、機密性、完全性が影響を受ける可能性があります。


II. 影響およびCVSS評価

CVSS評価値: 8.5
攻撃元区分 (AV): ネットワーク
攻撃条件の複雑さ (AC): 中
攻撃前の認証要否 (Au): シングル
影響: 機密性、完全性、可用性の全体が影響を受ける
CVSS基本値区分: (AV:N/AC:M/Au:S/C:C/I:C/A:C)

Webサーバがルートとして実行されている場合は、マシンが完全に乗っ取られる可能性があるため、CSVV基本値は8.5となります。Webサーバがルートとして実行されていない場合は、マシンが完全に乗っ取られることはないため、CVSS基本値は6.0です。

Usage of CVSS by Oracle:
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.htm


III. 影響を受けるバージョン

この脆弱性の影響を受けるのは、WebLogic ServerおよびWebLogic Expressの次に示すバージョンです。

2009年4月14日以前のApache、NSAPIおよびISAPI用プラグインが含まれる次のバージョン:

  • Oracle WebLogic Server 10.3
  • Oracle WebLogic Server 10.0のメンテナンスパック1までの全リリース
  • Oracle WebLogic Server 9.2のメンテナンスパック3までの全リリース
  • Oracle WebLogic Server 9.1
  • Oracle WebLogic Server 9.0
  • Oracle WebLogic Server 8.1のサービスパック6までの全リリース
  • Oracle WebLogic Server 7.0のサービスパック7までの全リリース

IV. 対処方法

Apache、SunおよびIIS webサーバ用WebLogic Serverプラグイン:

以下の通り、Web Server Pluginパッチ8343141をMetalinkからダウンロードして、適用してください。
  • Oracle Metalinkにログインして、'パッチと更新版' のタブを選択してください。
  • '単純検索' をクリックしてください。
  • '検索基準' のリストから 'パッチ番号/名称' を選択してください。
  • パッチ番号を入力してください。このパッチはWLS 10.3に対してアップロードされており、zipファイルにはすべてのプラットフォーム用のパッチが含まれています。
  • '実行' をクリックしてください。
  • 'ダウンロード' をクリックしてパッチをダウンロードし、zipファイルに含まれているreadmeファイルの指示に従って、パッチをインストールします。
注: WebLogicプラグインには、すべてのバグ修正が累積的に含まれているため、以前に公開されたすべての勧告に対する修正と、CVE-2009-1012に対する修正が含まれています。これらのプラグインは、すべてのバージョンのWebLogic Serverに対して互換性があります。


セキュリティに関する伝達方針

Oracleは、当社のすべてのセキュリティ勧告で推奨される修正をお客様が適用されることを強く提案します。またOracleは、お客様にすべてのサービス/メンテナンスパックをリリース後直ちに適用していただくことも強く要請します。サービス/メンテナンスパックには、以前の各サービス/メンテナンスパックに加えて、製品の各バージョンに対するすべてのバグ修正が累積的に含まれています。サービス/メンテナンスパックおよびサービス/メンテナンスパックについての情報は次の場所で公開しています。
http://www.oracle.com/technology/global/jp/software/products/ias/bea_main.html

注: WebLogic ServerおよびWebLogic Expressのセキュリティについての情報は、 http://otndnld.oracle.co.jp/document/products/wls/docs103/security.htmlをご覧ください。特定のプロダクション環境のセキュリティに関する情報については、 http://otndnld.oracle.co.jp/document/products/wls/docs103/lockdown/index.htmlをご覧ください。Oracleは、サーバのデプロイメントが安全にコンフィグレーションされていることをお客様が確信できるように、このドキュメントに再度目を通されることを強くお勧めします。

Oracle製品に何らかのセキュリティ関連の問題が生じた場合、Oracleは必要な勧告および指示を、適切な対処策とともに配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先事項ですので、セキュリティ関連の問題はすべて包み隠さずはっきりとお伝えすることを約束します。

過去のすべての勧告は、次の場所でご覧いただけます。
http://www.oracle.com/technology/global/jp/deploy/security/beaarchive.html

製品の勧告の配信登録を新しく希望するユーザは、次の場所に記載されている登録に関する指示に従ってください。
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm

セキュリティ関連の問題をOracleに報告するには、次の場所に記載されている指示に従ってください。
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm