-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                  JPCERT-AT-2020-0019
                                                            JPCERT/CC
                                                           2020-05-02

                  <<< JPCERT/CC Alert 2020-05-02 >>>

             Oracle WebLogic Server の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2020/at200019.html


I. 概要
2020年4月30日(現地時間)、Oracle は Oracle WebLogic Server の脆弱性に関
連して、顧客に対して「Security Notification (Doc ID 2664856.1)」を発行
したとのリリースがありました。

    Customers should apply the April 2020 Critical Patch Update without delay!
    https://blogs.oracle.com/security/apply-april-2020-cpu

    Security Notification for WLS CVE-2020-2883 in Java Cloud Service (要 Oracle アカウント)
    http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2664856.1

Oracle は、2020年4月14日(現地時間) にリリースした 2020年4月のクリティ
カルアップデートにより修正した脆弱性について複数の実証コードがあるとし
て、アップデートの適用を呼びかけており、特に脆弱性 (CVE-2020-2883) に
ついて注意を呼び掛けています。

脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行さ
れたりするなどの可能性があります。対象となる製品を利用している場合には、
「III.対策」および「IV. 回避策」の適用等を検討してください。

II. 対象
    - Oracle WebLogic Server 12.2.1.4.0
    - Oracle WebLogic Server 12.2.1.3.0
    - Oracle WebLogic Server 12.1.3.0.0
    - Oracle WebLogic Server 10.3.6.0.0

III. 対策
Oracle から、修正済みソフトウエアが 2020年4月のクリティカルアップデート
にて公開されています。

製品をアップデートした場合、対象製品を利用する他のアプリケーションが正
常に動作しなくなる可能性があります。利用するアプリケーションへの影響を
考慮した上で、更新してください。

IV. 回避策
脆弱性 (CVE-2020-2883) の悪用につながる可能性のある T3/T3s の各プロ
トコルへの適切なアクセス制限 (フィルタ) を設定することを検討してくださ
い。また、2020年4月のクリティカルアップデートにて修正されている Oracle
Weblogic Serverの脆弱性には、T3/T3s 以外にも GIOP (IIOP/IIOPs) に関係
するものもあります。Oracle WebLogic Server における脆弱性の悪用を防ぐ
上でも、これらの各プロトコルに対して、適切なアクセス制限 (フィルタ)
確認・設定し、必要なアクセスのみに限定することを検討してください。

フィルタ設定に関する詳細は Oracle のドキュメントを参照してください。

    Oracle
    ネットワーク接続フィルタの使い方
    https://docs.oracle.com/cd/E72987_01/wls/SCPRG/con_filtr.htm

V. 参考情報
    Oracle Corporation
    Oracle Critical Patch Update Advisory - April 2020
    https://www.oracle.com/security-alerts/cpuapr2020.html

    2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
    https://www.jpcert.or.jp/at/2020/at200017.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=L/Ok
-----END PGP SIGNATURE-----