CVSS Rating 10.0 (High)
Oracle Fusion Middleware
なんか出てる。
■Impact and CVSS Ratings
CVSS評価値 | : 10.0 (High) |
---|---|
攻撃元区分 (AV) | : Network |
攻撃条件の複雑さ (AC) | : 低 |
攻撃前の認証要否 (Au) | : 不要 |
影響 | : 機密性、完全性、可用性の全てが影響を受ける |
脆弱性のタイプ | : サービス拒否(DoS) |
CVSS基本値区分 | : (AV:N/AC:L/Au:N/C:C/I:C/A:C) |
ちなみに、パッチとなるUpdate版ApachePlug-inはまだ開発中で、ワークアラウンドが2つ提示されてるんだけど、、、
1つ目は、URIに何でもかんでも詰め込んじゃえ〜な実装をしているところは採用不可能。
2つ目は、mod_securityを入れてOnにしろっていうものだけど、現状使ってなかったら“影響”を気にして踏み切れない罠(ぉ
負荷に耐えられなくなってクレーム対応におわれるか、攻撃喰らってしまって対応費用がかさむか・・・
という感じに適用しづらいワークアラウンドかなぁと。
個人的には、エラーページに“メンテナンス中のため、繋がりにくく(ry”って内容のページ設定して、mod_securityモジュール有効化した方が幸せだと思います。