Advisoriesについて
現地(米国)時間の8/15なので今日出たみたいです。
- BEA05-83.00〜JCE1.2.1の期限切れ問題について〜
- BEA05-80.01〜管理コンソールのXSS脆弱性について〜
- BEA05-61.01〜HTTPSのクローズ漏れによるDoS攻撃について〜
#日本語情報も出たので日本サイトにリンク
JCE1.2.1の期限切れ(BEA05-083)についてはNotification(通告)になっており、内容もアプリケーションでJCE1.2.1を使ってると問題が発生すると言っているだけなのでWLSとしては問題がないということになります。発生する問題としては以下のように日本語サイトに書かれていました。
該当するユーザは、サーバのタイムゾーンの設定によって異なりますが、7月25日頃からJCE jarファイルのsignedBy節で失敗するようになります。サーバを再起動するまでの間は正常に動作しますが、再起動が失敗するようになります。
ただし、この通告で問題なのが対象がWebLogic7.0のみになっている点ですね。
J2SE1.3ラインのJVMを利用しているのはWebLogic7.0だけでなく、WebLogic6.1も利用しています。しかも、EOLを迎えていないのだからちゃんと検証してWebLogic6.1についても対象として入れて欲しかったですね。
#ユーザを軽視すると痛い目にあうということを理解してないのかな?
それ以外の二つについてはまた後ほどw