Oracle は先週、WebLogic ミドルウェアにセキュリティ上の脆弱性が明らかになったことを受けて、緊急パッチをリリースした。
このセキュリティアラートは、Oracle WebLogic Server のリモートコード実行の脆弱性である CVE-2020-14750 に対処します。
オラクルはセキュリティアラートの中で、「この脆弱性は、2020年10月のクリティカルパッチアップデートで修正されたCVE-2020-14882に関連しています。認証なしでリモートから悪用される可能性があり、ユーザー名とパスワードを必要とせずにネットワーク経由で悪用される可能性があります」と述べています。
「この脆弱性の深刻さと、さまざまなサイトでのエクスプロイトコードの公開を考慮し、Oracle は、このセキュリティアラートで提供される更新をできるだけ早く適用することを顧客に強く推奨します。」
過去8日間にWebLogic Serverコンソールの欠陥を修正していない場合は、「侵害されたと想定してください」
続きを読む
Big Red によれば、このパッチは Oracle WebLogic Server バージョン 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、および 14.1.1.0.0 に適用する必要があるとのことです。
このパッチは、SANS Technology Instituteの研究部長であるヨハネス・ウルリッヒ氏が先週明らかにした脆弱性に対処するために設計されています。ウルリッヒ氏は、CVE-2020-14882のパッチが適用されていない公開WebLogicサーバーを特定しようとした人物が、研究用の「ハニーポット」システムでトラフィックの急増に気付きました。CVSSスコア9.8のこの脆弱性は、アプリケーションコンソールに存在する「容易に悪用可能な脆弱性」であり、ユーザーの介入なしにHTTP経由で攻撃され、リモートからコードを実行される可能性があります。
「ネットワーク内に脆弱なサーバーを見つけたら、侵入されたと想定してください」とウルリッチ氏は述べた。
オラクルおよびSAPサポート専門会社Spinnaker Supportの副社長兼ゼネラルマネージャー、マーティン・ビッグス氏は、この攻撃は「もともと高い基準でコード化されておらず、二重エンコード攻撃の脆弱性を許していた」認証機能を悪用したと述べた。
しかし、この問題はミドルウェアアーキテクチャに対して高リスクなアプローチを取っている人々にのみ当てはまる可能性が高いと彼は付け加えた。
「これは、管理コンソールがオープンインターネット上にあるWeblogicサーバーに影響を及ぼしますが、これは非常に悪い習慣です。[そうした場合]、管理サーバーではなく、管理対象サーバーがオープンインターネット上に公開されてしまいます。」
彼は、WebLogic コンソールがオープン インターネット経由でアクセスすることを許可せず、WLS サーバーとインターネット間のゲートウェイとしてプロキシ サーバーを使用し、信頼できるホストからの接続のみを受け入れるように WebLogic 接続フィルターを構成するようユーザーにアドバイスしました。
それでも、402件の修正を含む大規模な四半期アップデートの後にパッチをリリースしなければならないのは、Oracleにとっては恥ずかしいことでしょう。おっと。ラリー、一つ見逃していたようですね。®
