JVNDB-2008-000040

[English]
JVNDB-2008-000040
WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性
概要
WebLogic Server および WebLogic Express は、Oracle（旧 BEA Systems, Inc.）が提供するアプリケーションサーバです。WebLogic Server および WebLogic Express に付属するプラグインには、ディレクトリトラバーサルの脆弱性が存在します。 Oracle（旧 BEA Systems, Inc.）が提供する WebLogic Server および WebLogic Express は、Java Platform Enterprise Edition 5（JavaEE5）に準拠したアプリケーションサーバです。WebLogic Server および WebLogic Express に付属する Apache、Sun、Microsoft IIS ウェブサーバ用プラグインには、ディレクトリトラバーサルの脆弱性が存在します。 2008年4月29日、Oracle の BEA Systems, Inc. 買収により、今後 BEA 製品のセキュリティ関連情報は Oracle Critical Patch Update に掲載されます。詳しくは Oracle が提供する"Oracle and BEA"、"Security Advisories and Notifications"、"Support for BEA Products"をご確認ください。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者：NRIセキュアテクノロジーズ株式会社　岡博文氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし
影響を受けるシステム

オラクル Oracle WebLogic Express 2008年7月15日より前の Apache 用プラグイン Oracle WebLogic Express 2008年7月15日より前の NSAPI（Netscape Server Application Program Interface）用プラグイン Oracle WebLogic Express 2008年7月15日より前の ISAPI（Internet Server Application Program Interface）用プラグイン Oracle WebLogic Server 2008年7月15日より前の Apache 用プラグイン Oracle WebLogic Server 2008年7月15日より前の NSAPI（Netscape Server Application Program Interface）用プラグイン Oracle WebLogic Server 2008年7月15日より前の ISAPI（Internet Server Application Program Interface）用プラグイン

想定される影響
遠隔の第三者により、WebLogic Server および WebLogic Express が設置されているサーバ内のファイルを認証なしで閲覧される可能性があります。その結果、ファイルの内容が意図せず漏えいする可能性があります。
対策
[アップデートする] ベンダが提供する情報をもとに最新版へアップデートしてください。詳しくはベンダが提供する情報をご確認ください。
ベンダ情報
オラクル Oracle : Oracle and BEA Oracle : Support for BEA Products Oracle Critical Patch Update : Critical Patch Update Advisory - July 2008 Security Advisories and Notifications : Security Advisories and Notifications Security Advisories and Notifications : Security Advisories and Notifications Security Advisories and Notifications : 2785 セキュリティアドバイザリ : CVE-2008-2579
CWEによる脆弱性タイプ一覧 CWEとは?
情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2008-2579
参考情報
JVN : JVN#81667751 JVN Status Tracking Notes : TRJVN-2008-03 National Vulnerability Database (NVD) : CVE-2008-2579 ISS X-Force Database : 43823
更新履歴
[2008年07月18日] 掲載


公表日	2008/07/18
登録日	2008/07/18
最終更新日	2008/07/18

WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性