【活用ガイド】

[English]

JVNDB-2008-000040

WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性

概要

WebLogic Server および WebLogic Express は、Oracle(旧 BEA Systems, Inc.)が提供するアプリケーションサーバです。WebLogic Server および WebLogic Express に付属するプラグインには、ディレクトリトラバーサルの脆弱性が存在します。

Oracle(旧 BEA Systems, Inc.)が提供する WebLogic Server および WebLogic Express は、Java Platform Enterprise Edition 5(JavaEE5)に準拠したアプリケーションサーバです。WebLogic Server および WebLogic Express に付属する Apache、Sun、Microsoft IIS ウェブサーバ用プラグインには、ディレクトリトラバーサルの脆弱性が存在します。

2008年4月29日、Oracle の BEA Systems, Inc. 買収により、今後 BEA 製品のセキュリティ関連情報は Oracle Critical Patch Update に掲載されます。詳しくは Oracle が提供する"Oracle and BEA"、"Security Advisories and Notifications"、"Support for BEA Products"をご確認ください。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。
報告者:NRIセキュアテクノロジーズ株式会社 岡 博文 氏

CVSS による深刻度 (CVSS とは?)

基本値: 5.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし

影響を受けるシステム


オラクル
  • Oracle WebLogic Express 2008年7月15日より前の Apache 用プラグイン
  • Oracle WebLogic Express 2008年7月15日より前の NSAPI(Netscape Server Application Program Interface)用プラグイン
  • Oracle WebLogic Express 2008年7月15日より前の ISAPI(Internet Server Application Program Interface)用プラグイン
  • Oracle WebLogic Server 2008年7月15日より前の Apache 用プラグイン
  • Oracle WebLogic Server 2008年7月15日より前の NSAPI(Netscape Server Application Program Interface)用プラグイン
  • Oracle WebLogic Server 2008年7月15日より前の ISAPI(Internet Server Application Program Interface)用プラグイン

想定される影響

遠隔の第三者により、WebLogic Server および WebLogic Express が設置されているサーバ内のファイルを認証なしで閲覧される可能性があります。その結果、ファイルの内容が意図せず漏えいする可能性があります。
対策

[アップデートする]
ベンダが提供する情報をもとに最新版へアップデートしてください。
詳しくはベンダが提供する情報をご確認ください。
ベンダ情報

オラクル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-2579
参考情報

  1. JVN : JVN#81667751
  2. JVN Status Tracking Notes : TRJVN-2008-03
  3. National Vulnerability Database (NVD) : CVE-2008-2579
  4. ISS X-Force Database : 43823
更新履歴

[2008年07月18日]
  掲載