米BEA Systemsは米国時間10月10日,同社のWebアプリケーション・サーバー「BEA WebLogic」に24種類のセキュリティ・ホールが見つかったことを明らかにした。影響を受けるのは,WebLogic Express 6.x/7.x/8.x/9.x,WebLogic Server 6.x/7.x/8.x/9.x。対策は同社が提供するパッチを適用すること。
悪用された場合の影響は,セキュリティ・ホールによって異なる。危険度が高いセキュリティ・ホールを悪用されると,(1)ユーザー権限の昇格,(2)クロスサイト・スクリプティング攻撃,(3)DoS(サービス妨害)攻撃,(4)セキュリティ設定の回避---などを許す可能性がある。リモートから任意のプログラムを実行されるようなセキュリティ・ホールは含まれていない。なお,すべてのバージョンに24種類のセキュリティ・ホールが存在するわけではない。
対策はパッチの適用。パッチへのリンクやセキュリティ・ホールの詳細は,BEA Systemsが公開するアドバイザリにそれぞれ記述されている。
◎参考資料
◆Security Advisories and Notifications(米BEA Systems)
◆BEA WebLogic 24 Vulnerabilities and Security Issues(デンマークSecunia)
