やっとでた
でも、せっかくなので重要度もシステムへの影響度もHighじゃないヤツについても書いときますw
#日本語の概要を表にして載せるかなぁw
#(・o・)あ!dev2devの脅威レベルを“重要度”、重要度を“システムへの影響度”と
#ココでは勝手に置き換えてます。w*1
番号 | 概要 | 対策 |
---|---|---|
BEA05-89.00 | 高負荷時に監査イベントが誤った重要度で出力される*2 | 8.1はSP5にUpdateする。7.0はSP6にUpdateしてパッチCR122962を適用する。 |
BEA05-90.00 | FWで保護されたマシンのIPアドレスなどの情報が意図せず漏れてしまう可能性があった | 8.1はSP4以降にUpdateする。 |
BEA05-91.00 | サーバの秘密鍵*3に対するパスフレーズが設定ファイル(nodemanager.config)に平文で保存される | 8.1はSP4以降にUpdateする。*4 |
BEA05-94.00 | Admin権限を付与されているアカウントを使用してリモートから内部Servlet経由でローカルファイルにアクセス出来た | 8.1はSP4以降にUpdateする。*5 |
BEA05-95.00 | 異なるOS間*6でセキュリティポリシーを移行すると移行先のServletなどが正常に保護されない可能性があった | ドキュメントを参照して下さい。8.1は>こちら<、7.0は>こちら |
BEA05-96.00 | Configuration Wizardを使用してWebLogic Serverドメインを作成したときにSSLを有効にするとkeystoreのパスフレーズが画面上とサーバログに出力される | 8.1はSP4以降にUpdateする。*7 |
BEA05-97.00 | 認証プロバイダなどで予期せぬ障害が発生したときにServletリソースのデプロイは停止されるべきであるがfullyDelegateAuthorizationモード*8を利用時にはサーブレットコンテナによって保護されずにデプロイ処理が継続されてしまっていた*9 | 8.1はSP4以降にUpdateする。7.0はSP6にUpdateする。 |
BEA05-103.00 | WebLogic Clusterを利用する際に用いられるマルチキャストデータが暗号化されないために盗聴される可能性があった*10 | 8.1はSP5にUpdateして、7.0はSP6にUpdateする。 |
BEA05-104.00 | MBean*11の構成変更を記録する監査ログへの出力が不正なログを受け続けると停止する可能性があった | 8.1はSP5にUpdateする。 |
*1:重要度が高ければ高いほどシステムへの影響も高いと考えるからです。そういう意味では重要度ではなく危険度と表現するべきかもしれませんが(;^_^A アセアセ…
*2:ログ監視ツールHP社のOpenViewや日立のJP1などかな?
*3:CustomTrustKeyStorePassPhrase
*4:SP4以降は暗号化して保存します
*5:特定のファイルにしかアクセス出来ないように改修されているらしい
*8:http://www.beasys.co.jp/e-docs/wls/docs70/secwlres/wlres.html#235480
*9:予期せぬ障害が発生したときには確実にServletのデプロイが失敗するように(つまりはエラー処理を)改善したみたい