各位
Oracle WebLogic Server の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200019.html
I. 概要2020年4月30日(現地時間)、Oracle は Oracle WebLogic Server の脆弱性に関連して、顧客に対して「Security Notification (Doc ID 2664856.1)」を発行したとのリリースがありました。
Customers should apply the April 2020 Critical Patch Update without delay!
https://blogs.oracle.com/security/apply-april-2020-cpu
Security Notification for WLS CVE-2020-2883 in Java Cloud Service (要 Oracle アカウント)
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2664856.1
Oracle は、2020年4月14日(現地時間) にリリースした 2020年4月のクリティカルアップデートにより修正した脆弱性について複数の実証コードがあるとして、アップデートの適用を呼びかけており、特に脆弱性 (CVE-2020-2883) について注意を呼び掛けています。
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたりするなどの可能性があります。対象となる製品を利用している場合には、「III.対策」および「IV. 回避策」の適用等を検討してください。
II. 対象
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
III. 対策Oracle から、修正済みソフトウエアが 2020年4月のクリティカルアップデートにて公開されています。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
IV. 回避策脆弱性 (CVE-2020-2883) の悪用につながる可能性のある T3/T3s の各プロトコルへの適切なアクセス制限 (フィルタ) を設定することを検討してください。また、2020年4月のクリティカルアップデートにて修正されている OracleWeblogic Serverの脆弱性には、T3/T3s 以外にも GIOP (IIOP/IIOPs) に関係するものもあります。Oracle WebLogic Server における脆弱性の悪用を防ぐ上でも、これらの各プロトコルに対して、適切なアクセス制限 (フィルタ)確認・設定し、必要なアクセスのみに限定することを検討してください。
フィルタ設定に関する詳細は Oracle のドキュメントを参照してください。
Oracle
ネットワーク接続フィルタの使い方
https://docs.oracle.com/cd/E72987_01/wls/SCPRG/con_filtr.htm
V. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200017.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
JPCERT-AT-2020-0019
JPCERT/CC
2020-05-02
JPCERT/CC Alert 2020-05-02
Oracle WebLogic Server の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200019.html
I. 概要2020年4月30日(現地時間)、Oracle は Oracle WebLogic Server の脆弱性に関連して、顧客に対して「Security Notification (Doc ID 2664856.1)」を発行したとのリリースがありました。
Customers should apply the April 2020 Critical Patch Update without delay!
https://blogs.oracle.com/security/apply-april-2020-cpu
Security Notification for WLS CVE-2020-2883 in Java Cloud Service (要 Oracle アカウント)
http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2664856.1
Oracle は、2020年4月14日(現地時間) にリリースした 2020年4月のクリティカルアップデートにより修正した脆弱性について複数の実証コードがあるとして、アップデートの適用を呼びかけており、特に脆弱性 (CVE-2020-2883) について注意を呼び掛けています。
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたりするなどの可能性があります。対象となる製品を利用している場合には、「III.対策」および「IV. 回避策」の適用等を検討してください。
II. 対象
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
III. 対策Oracle から、修正済みソフトウエアが 2020年4月のクリティカルアップデートにて公開されています。
製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
IV. 回避策脆弱性 (CVE-2020-2883) の悪用につながる可能性のある T3/T3s の各プロトコルへの適切なアクセス制限 (フィルタ) を設定することを検討してください。また、2020年4月のクリティカルアップデートにて修正されている OracleWeblogic Serverの脆弱性には、T3/T3s 以外にも GIOP (IIOP/IIOPs) に関係するものもあります。Oracle WebLogic Server における脆弱性の悪用を防ぐ上でも、これらの各プロトコルに対して、適切なアクセス制限 (フィルタ)確認・設定し、必要なアクセスのみに限定することを検討してください。
フィルタ設定に関する詳細は Oracle のドキュメントを参照してください。
Oracle
ネットワーク接続フィルタの使い方
https://docs.oracle.com/cd/E72987_01/wls/SCPRG/con_filtr.htm
V. 参考情報
Oracle Corporation
Oracle Critical Patch Update Advisory - April 2020
https://www.oracle.com/security-alerts/cpuapr2020.html
2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2020/at200017.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
前
コメント
共 有
