JPCERT コーディネーションセンター

Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起

各位

JPCERT-AT-2019-0020
JPCERT/CC
2019-04-28

JPCERT/CC Alert 2019-04-28


Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190020.html


I. 概要Oracle は 2019年4月26日 (現地時間) に Oracle WebLogic Server の脆弱性(CVE-2019-2725) を公開しました。公開された情報によると WebLogic Serverには、安全でないデシリアライゼーションの脆弱性が存在するとされています。本脆弱性を悪用することで、遠隔の第三者が、任意のコードを実行する可能性があります。

Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

なお、報告者の一つである KnownSec 404 Team によりますと本脆弱性(CVE-2019-2725) は脆弱性 (CNVD-C-2019-48814) と同一であると述べられています。

JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html

JPCERT/CC では、脆弱性 (CNVD-C-2019-48814) を実証するとされる実証コードが公開されていることを確認しており、当該実証コードが動作することも確認しています。III. 対策を参考に早急な対応をご検討ください。


II. 対象対象となるバージョンは次のとおりです。

- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 10.3.6.0


III. 対策Oracle から脆弱性を修正したパッチが公開されています。 修正済みのパッチを適用することをご検討ください。

- Oracle WebLogic Server 12.1.3.0 ※
- Oracle WebLogic Server 10.3.6.0 ※

※パッチ情報の詳細については、4月27日時点の公開情報では確認できておりません。詳細については、Oracle 等に確認してください。

パッチを適用した場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。


IV. 参考情報
Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

Oracle
Security Alert CVE-2019-2725 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2725-released

Oracle
Lifetime Support Stages for Your Oracle Products
https://www.oracle.com/support/lifetime-support/

JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter