Oracle Warns of Critical Remotely Exploitable Weblogic Server Flaws
2021/07/22 TheHackerNews — 火曜日に Oracle は、2021年7月の四半期 Critical Patch Update をリリースした。複数の製品にまたがる 342件の修正が含まれており、その一部はリモートの攻撃者により悪用され、影響を受けたシステムの制御を乗っ取る可能性がある。その中でも、特に重要なのは脆弱性 CVE-2019-2729 である。Oracle WebLogic Server Web Services の XMLDecoder を介した、デシリアライゼーションに関する深刻な脆弱性であり、認証なしにリモートから悪用される可能性がある。
この問題は、2019年6月の境界外アクセスの脆弱性の一部として、そのときに対処されていたが、改めて注目すべきものである。Oracle WebLogic Server は、Enterprise Java ベースのアプリケーションを開発/展開/実行するための、プラットフォームとして機能するアプリケーション・サーバーである。この脆弱性は、Oracle Hyperion Infrastructure Technology に存在し、CVSS の深刻度スケールで 9.8 と評価され、WebLogic Server 11.1.2.4 / 11.2.5.0 に影響する。また、WebLogic Server には、この他にも6件脆弱性が存在し、そのうちの3つは CVSS スコアが 9.8 となっている。
・CVE-2021-2394 (CVSS 9.8)
・CVE-2021-2397 (CVSS 9.8)
・CVE-2021-2382 (CVSS 9.8)
・CVE-2021-2378 (CVSS 7.5)
・CVE-2021-2376 (CVSS 7.5)
・CVE-2021-2403 (CVSS 5.3)
WebLogic Server で深刻な問題が発見されたのは、今回が初めてではない。今年の初めに Oracle は、任意のコード実行に悪用される可能性がある、2つの脆弱性 (CVE-2021-2135 / CVE-2021-2136) などを修正した、2021年4月の四半期 Critical Patch Update をリリースしている。Oracle の顧客は、速やかにアップデート・プログラムを適用し、システムの悪用から保護する必要がある。
Oracle の定例アップデートは年に4回で、1月 / 4月 / 7月 / 10月に行われます。したがって、一度に大量の情報が出てくるので、当日は大変です。そして、いつも注目されるのは WebLogic Server です。さまざまな企業のクリティカルなパートで使われているのでしょう。それにしても、年に4回のアップデートは、間が空きすぎではないでしょうか?
IoT OT Security News 