システムへの影響度の高いもの
| 番号 | 概要 | 対策 |
|---|---|---|
| BEA05-80.02 | XSS脆弱性に対する修正パッチ(9.0用のパッチが追加されただけ) | 9.0利用者はパッチを適用して下さい。BEA05-80.01で対策済みの人は今回は対処は要りません。 |
| BEA05-85.00 | ユーザが指定されない状況でSSL通信を行うと平文でデータが流れる可能性がある | 7.0と6.1はパッチ適用、8.1はSP4以上へUpdateする。*1 |
| BEA05-86.00 | JavaClientアプリで非SSL通信とSSL通信を同時に行うと非SSL通信を優先してしまって情報が暗号化されない可能性がある | パッチはBEA05-85.00と共用ですので7.0と6.1はパッチ適用、8.1はSP5にUpdateする。 |
| BEA05-87.00 | HTTPレスポンスのwrite処理で時間が掛かるとコネクションが切断されないために徐々にスレッドが枯渇してしまう可能性がある | 8.1はSP5にUpdateします。7.0はSP6にUpdateし、6.1はSP7にUpdateした上でパッチを適用しそれぞれ-Dweblogic.http.enablewritetimeout=true,-Dweblogic.http.writetimeoutvalue=900の設定を起動オプションに設定します。 |
| BEA05-88.00 | run-asデプロイメント記述子を用いることでDeployer権限のWebアプリケーションをAdmin権限に昇格させることが出来る | 8.1はSP5にUpdate。7.0はSP6にUpdateしてパッチを適用する。 |
| BEA05-92.00 | 派生したプリンシパルが部分的にしか有効にならない可能性があり、その場合は不正なID情報でアクセスされる恐れがある | 8.1はSP5へ7.0はSP6へUpdateする。 |
| BEA05-98.00 | -Dオプションにパスワードなどを指定して起動オプションに含めているとサーバログにそれがそのまま出力される恐れがある | 6.1以外は最新SPへUpdateして、6.1はSP7へUpdateしてパッチを適用する。 |
| BEA05-99.00 | (Windows限定)インストール時にサービスとして登録するとレジストリにパスワードが平文で登録される可能性があった | 各バージョン毎のbeasvc.exeというサービスに登録するためのユーティリティをDLし、既存ものと置き換える。8.1の場合はSP5にUpdateするかSP5のbeasvc.exeを利用するとよい。*2 |
| BEA05-100.00 | IIOP protocolを利用している時にパスワードを含むSunjectを構成する可能性があり、サーバログか例外としてパスワードが漏洩する可能性があった | 最新のSPにUpdateして、7.0と6.1はパッチもあわせて適用する。 |
| BEA05-102.00 | weblogic.Deployer を利用時にパスワードなどが盗聴される可能性があった*3 | 8.1はSP5にUpdateして、7.0はSP6にUpdateしてパッチを適用する。 |
| BEA05-105.00 | HTTP Request Smuggling攻撃によりキャッシュサーバやFWの機能を無効化したりされる | 8.1はSP5にUpdateして、7.0はSP6にUpdateしてパッチ適用。*4 |
※SPを上げなくても保守契約を結んでいたら個別パッチを貰えるかもしれません。ただし、今回のアドバイザリはクラスコンフリクトを起こす可能性が非常に高いのでマージパッチの作成が必須になってくると思われます。
※WebLogic7.0が対象のセキュリティアドバイザリについてはその殆どがSP7にて修正される予定ですが、サポートするJavaVMが1.3.1から1.4.2に変更になります。影響度が大きいと思われるので大人しく8.1か9.0への移行計画を考えた方が良いです。
(参考)
Security Advisory SA17138 - BEA WebLogic 24 Vulnerabilities and Security Issues - Secunia
HTTP Request Smuggling攻撃って何?と言う方は
http://www.watchfire.com/resources/HTTP-Request-Smuggling.pdf
を参照して下さい。(英語ですが(;^_^A アセアセ… )
