CVSS Rating 10.0 (High)
Oracle Fusion Middleware
なんか出てる。
■Impact and CVSS Ratings
CVSS評価値 | : 10.0 (High) |
---|---|
攻撃元区分 (AV) | : Network |
攻撃条件の複雑さ (AC) | : 低 |
攻撃前の認証要否 (Au) | : 不要 |
影響 | : 機密性、完全性、可用性の全てが影響を受ける |
脆弱性のタイプ | : サービス拒否(DoS) |
CVSS基本値区分 | : (AV:N/AC:L/Au:N/C:C/I:C/A:C) |
ちなみに、パッチとなるUpdate版ApachePlug-inはまだ開発中で、ワークアラウンドが2つ提示されてるんだけど、、、
1つ目は、URIに何でもかんでも詰め込んじゃえ〜な実装をしているところは採用不可能。
2つ目は、mod_securityを入れてOnにしろっていうものだけど、現状使ってなかったら“影響”を気にして踏み切れない罠(ぉ
負荷に耐えられなくなってクレーム対応におわれるか、攻撃喰らってしまって対応費用がかさむか・・・
という感じに適用しづらいワークアラウンドかなぁと。
個人的には、エラーページに“メンテナンス中のため、繋がりにくく(ry”って内容のページ設定して、mod_securityモジュール有効化した方が幸せだと思います。
第一回まっちゃ445勉強会のご紹介♪
第01回まっちゃ445勉強会
というわけで、
関西でまっちゃ139の代表を務めるid:ripjyrさんが関西とは別に、関東でも勉強会を始める様です♪
大きな特徴としては、
- 東京で月に1回土曜日に勉強会を開催
- 東京で月に1回平日夜に勉強会を開催(大阪とか他拠点もSkypeでつなぐかも)
の2点かな?
第一回の日程などは
日付 2008年08月23日(土曜日) 時間 13時00分〜16時30分 場所 大田区産業プラザC会議室 住所 東京都大田区南蒲田1-20-20 大田区産業プラザ(京急蒲田駅東口より徒歩3分) 地図 http://www.pio-ota.jp/plaza/map.html 費用 1000円(学生、未成年:無料)
となっている様ですが・・・*1
それだけではなく、
第01回まっちゃ445目覚まし勉強会
という
時間 10時30分〜12時00分 費用 無料 登録申込み 適当に現地に来てください♪
こんなもの*2まであったりします♪
勉強会後は懇親会もあるので、勉強会がお初な方もままーり雑談しながら緊張ほぐしませんか?
第01回まっちゃ445懇親会
最後に、まっちゃ139勉強会を既に知っている方々としては、
「何で関東?まっちゃ139と何が違うの?」
という疑問もあろうかと思いますが、id:ripjyrさんはちゃんと経緯についても書かれているので、
まっちゃ445の開催経緯について
を参照下さい。
アドバイザリもOracle流・・・
http://dev2dev.bea.com/advisoriesnotifications/
でアドバイザリーが7件公開されているのですが、
ナンバリングがCVE-2008-XXXXとなっていたり、
CVSS Ratingしか記載されなくなっていたりと元BEAのEngineer達はやる気なくしてるのかなぁ?と思ってみたり。
あと、CVSS Ratingの値が若干甘めになってない?とか邪推してしまうのだが・・・
ちなみに個人的には、
CVE-2008-2579(Information disclosure vulnerability in WebLogic plug-ins for Apache, Sun and IIS Web servers)
が気になります。
ApacheやIISを使っているところって結構知っているので、たまたま再起動のタイミングと重なって、起動しなくなったりとかしてないかなぁと・・・
iPlanetも使ってるところあるだろうけど、NSAPIは結構シェア的に微妙なのでサポートプライオリティ低めで利用者は減ってるだろうなぁと。
だから、大した影響なかったりしてねw>iPlanet
■
またもや久しぶりの更新ですね。
高添さんを発見♪
Windows Server 2008登場 | Think IT(シンクイット)
Windows Server 2008かぁと思って、開いてみたら高添さんだったw
JavaSE 6 Update 5
http://java.sun.com/javase/ja/6/download.html
品質向上の為にSunへ情報を送る仕組みが組み込まれたらしい。
まぁ、重要な修正などはないので、上げなくてもいいっぽいね。
色々見逃してました。。。orz
DoS食らうとかローカルファイル弄れるとか、バッファオーバーフローとか多数修正入ってますね。
んーっと・・・
どのバージョン使っててもアップデートした方が良いです!
ただし、サーバVMについては影響のある修正がほとんどないので、WebLogicをはじめとして、J2EEサーバで利用しているJVMは直ぐには上げなくても問題ないと思われます。