Oracle Fusion Middleware
なんか出てる。

■Impact and CVSS Ratings

ちなみに、パッチとなるUpdate版ApachePlug-inはまだ開発中で、ワークアラウンドが2つ提示されてるんだけど、、、
1つ目は、URIに何でもかんでも詰め込んじゃえ〜な実装をしているところは採用不可能。
2つ目は、mod_securityを入れてOnにしろっていうものだけど、現状使ってなかったら“影響”を気にして踏み切れない罠（ぉ
負荷に耐えられなくなってクレーム対応におわれるか、攻撃喰らってしまって対応費用がかさむか・・・
という感じに適用しづらいワークアラウンドかなぁと。

個人的には、エラーページに“メンテナンス中のため、繋がりにくく（ｒｙ”って内容のページ設定して、mod_securityモジュール有効化した方が幸せだと思います。

http://dev2dev.bea.com/advisoriesnotifications/
でアドバイザリーが7件公開されているのですが、
ナンバリングがCVE-2008-XXXXとなっていたり、
CVSS Ratingしか記載されなくなっていたりと元BEAのEngineer達はやる気なくしてるのかなぁ？と思ってみたり。

あと、CVSS Ratingの値が若干甘めになってない？とか邪推してしまうのだが・・・


ちなみに個人的には、
CVE-2008-2579(Information disclosure vulnerability in WebLogic plug-ins for Apache, Sun and IIS Web servers)
が気になります。

ApacheやIISを使っているところって結構知っているので、たまたま再起動のタイミングと重なって、起動しなくなったりとかしてないかなぁと・・・
iPlanetも使ってるところあるだろうけど、NSAPIは結構シェア的に微妙なのでサポートプライオリティ低めで利用者は減ってるだろうなぁと。
だから、大した影響なかったりしてねｗ＞iPlanet

Oracleに買収されちゃった某社から某社へ移ったのかぁ。
本人は記憶にないだろうけど、その節は大変お世話になりました。
# ここが元気だったころはリンク張られちゃってドキドキしましたがｗ

うどんもそばも寺子屋も虚無僧も殆ど利用していませんが（ぉぃ
侍には大変お世話になりっぱなしですｗｗｗ

http://java.sun.com/javase/ja/6/download.html
品質向上の為にSunへ情報を送る仕組みが組み込まれたらしい。
まぁ、重要な修正などはないので、上げなくてもいいっぽいね。

色々見逃してました。。。orz
DoS食らうとかローカルファイル弄れるとか、バッファオーバーフローとか多数修正入ってますね。
んーっと・・・
どのバージョン使っててもアップデートした方が良いです！
ただし、サーバVMについては影響のある修正がほとんどないので、WebLogicをはじめとして、J2EEサーバで利用しているJVMは直ぐには上げなくても問題ないと思われます。