Threat Level(重要度)が高いもの
システムへの影響度が高いものは>こちら<
10/10に公開されたアドバイザリの重要度やシステムへの影響度の一覧は>こちら<
| 番号 | 概要 | 対策 |
|---|---|---|
| BEA05-80.02 | XSS脆弱性に対する修正パッチ(9.0用のパッチが追加されただけ) | 9.0利用者はパッチを適用して下さい。BEA05-80.01で対策済みの人は今回は対処は要りません。 |
| BEA05-87.00 | HTTPレスポンスのwrite処理で時間が掛かるとコネクションが切断されないために徐々にスレッドが枯渇してしまう可能性がある | 8.1はSP5にUpdateします。7.0はSP6にUpdateし、6.1はSP7にUpdateした上でパッチを適用しそれぞれ-Dweblogic.http.enablewritetimeout=true,-Dweblogic.http.writetimeoutvalue=900の設定を起動オプションに設定します。 |
| BEA05-93.00 | servletのurl-patternの定義を記述するweb.xml内で“/*”という定義をしていた場合に、ルート“/”に対するアクセス制限が適用されなかった。 | 8.1はSP4以降にUpdateします。7.0はSP6にUpdateします。 |
| BEA05-101.00 | セキュリティ対策の為のドキュメント修正 | Administrator権限を持つアカウント*1を追加して下さい。 |
| BEA05-106.00 | あるServletの呼び出しに呼応して送られるクエスト*2が結果としてDoS攻撃に繋がるのを抑制する | HTTP固有の問題と言うてるので大人しく8.1はSP5にUpdate、7.0はSP6にUpdateしてパッチCR244708*3を適用する。*4 |
| BEA05-107.00 | ロックアウト後もログインを試行する事が出来てしまっていたのを出来ないようにした。*5 | 8.1も7.0も最新のSPにUpdateしてパッチCR238192を適用する。*6 |
#保守契約を結んでいる場合は個別パッチが入手できるはずなので要求してみて下さい。
#リソース的な問題で検証できてませんm(__)m
*1:あくまでもWebLogicの管理コンソールにアクセスしたりするためのアカウント。WindowsやUnixのアカウントではない。
*2:内部的に別のServletや自分自身に新しい値を割り当てて呼び出したりするリクエストだと思われる
*3:このパッチにはBEA05-105.00とBEA05-80.02の修正が含まれるらしい
*4:HTTP URL構文解析アルゴリズムを厳密にしたと書いているので関連する処理が重くなっている事が想定されます。パッチを要求するときはその点を言及した方が良いでしょうね
*5:つまり、正しいアカウントをパスワードの組でログインするとロックアウトされているメッセージが表示されるってことだと思われます。
*6:そもそも外部からアクセスできなくするとか認証方法を変更する方が対策としては正攻法だと思う。
