「WebLogic Server」など既知脆弱性の悪用リスク高まる - 早急に更新を

「Oracle WebLogic Server（WLS）」をはじめ、既知の脆弱性を悪用するエクスプロイトの報告を受けていることをOracleが明らかにした。これを受けて国内外のセキュリティ機関も注意喚起を行っている。

今回特に注意が必要となるのが、「Oracle Fusion Middleware」に含まれる「Oracle WebLogic Server」の脆弱性「CVE-2020-2883」。リモートより容易に悪用することが可能で、サーバを乗っ取られるおそれがある。

「同12.2.1.4.0」「同12.2.1.3.0」「同12.1.3.0.0」「同10.3.6.0.0」に存在し、「CVSSv3.1」のベーススコアは「9.8」。4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。Oracleでは、4月に公開した定例アップデート「クリティカルパッチアップデート（CPU）」を通じて対応した。

同アップデートでは、のべ397件の脆弱性が修正されたが、Oracleでは、「CVE-2020-2883」をはじめ、最近修正された複数脆弱性を悪用するエクスプロイトの報告を受けていると説明。アップデートが未実施の場合は、遅延なく適用するようあらためて呼びかけた。

実際に同脆弱性をはじめ、1月や4月に修正された「WebLogic Server」の脆弱性7件に対するエクスプロイトとして、インターネット上にコードが公開されており、誰でも参照できる状態となっている。

こうした動きを受けて、米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）や、JPCERTコーディネーションセンターも注意喚起を実施。アップデートとともに、アクセス制御と言った回避策についてもあわせて紹介し、利用者へ対策を講じるよう求めている。

（Security NEXT - 2020/05/02 ） ツイート

PR

関連記事

「NVIDIA License System」に脆弱性 - 情報漏洩やDoSのおそれ
Kubernetesの「gitRepoボリューム」に脆弱性 - アップデートで修正
危険な脆弱性タイプのランキング - CSRFやコード挿入が上昇
米当局、AppleやOracleの脆弱性悪用に注意喚起
「Adobe InDesign」に定例外パッチ - ただし適用優先度は低
「くら寿司 公式アプリ」Android版に脆弱性 - 暗号鍵をハードコード
Fortraのセキュリティ製品、暗号化バイパスの脆弱性を修正
「Wget」非推奨機能に起因する脆弱性、アップデートで削除
「PostgreSQL」にアップデート、脆弱性を修正 - 「同12」はサポート終了へ
「VMware vCenter Server」脆弱性の悪用に注意喚起 - 米当局