-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2019-0020 JPCERT/CC 2019-04-28 <<< JPCERT/CC Alert 2019-04-28 >>> Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190020.html I. 概要 Oracle は 2019年4月26日 (現地時間) に Oracle WebLogic Server の脆弱性 (CVE-2019-2725) を公開しました。公開された情報によると WebLogic Server には、安全でないデシリアライゼーションの脆弱性が存在するとされています。 本脆弱性を悪用することで、遠隔の第三者が、任意のコードを実行する可能性 があります。 Oracle Oracle Security Alert Advisory - CVE-2019-2725 https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html なお、報告者の一つである KnownSec 404 Team によりますと本脆弱性 (CVE-2019-2725) は脆弱性 (CNVD-C-2019-48814) と同一であると述べられてい ます。 JPCERT/CC Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について https://www.jpcert.or.jp/newsflash/2019042601.html JPCERT/CC では、脆弱性 (CNVD-C-2019-48814) を実証するとされる実証コード が公開されていることを確認しており、当該実証コードが動作することも確認 しています。III. 対策を参考に早急な対応をご検討ください。 II. 対象 対象となるバージョンは次のとおりです。 - Oracle WebLogic Server 12.1.3.0 - Oracle WebLogic Server 10.3.6.0 III. 対策 Oracle から脆弱性を修正したパッチが公開されています。 修正済みのパッチ を適用することをご検討ください。 - Oracle WebLogic Server 12.1.3.0 ※ - Oracle WebLogic Server 10.3.6.0 ※ ※パッチ情報の詳細については、4月27日時点の公開情報では確認できており ません。詳細については、Oracle 等に確認してください。 パッチを適用した場合、対象製品を利用する他のアプリケーションが正常に動 作しなくなる可能性があります。利用するアプリケーションへの影響を考慮し た上で、更新してください。 IV. 参考情報 Oracle Oracle Security Alert Advisory - CVE-2019-2725 https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html Oracle Security Alert CVE-2019-2725 Released https://blogs.oracle.com/security/security-alert-cve-2019-2725-released Oracle Lifetime Support Stages for Your Oracle Products https://www.oracle.com/support/lifetime-support/ JPCERT/CC Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について https://www.jpcert.or.jp/newsflash/2019042601.html 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcxT9iAAoJEDF9l6Rp7OBIKsMH/jRcZPjlHoPMN3ObnpJTOgGs M3cn2BQ/RqfjUvs2Rka4aHg7jOLQCAF20MmHBvLyxxqvqce+cugVyMRKpapvbXYj Y5rqicO4aoWUXH6ubZ2roOrM5XxcJrSegrQpEXsfuK7kALwtGCmE4fYNA6MaLMtA zXwfD9tAluZ4iS3Qgs/iehuR/eNJYpguleGYSvlqdHpfIWqS/hbHy0au/JtE4vua Dev0E3lQtdLdd/ejW7ZWYBZo43X/RfAx5IGGaVQXCp6HkK3eNzpOH22Gv8KVH0K+ RE7o/AKHlsbAHnudLEOPpoTu2YO0Si0lK0dK1jXEgx2PrimkTaplhPqDkfdnAL0= =wNfQ -----END PGP SIGNATURE-----