米オラクルは2008年7月28日(米国時間)、アプリケーションサーバーソフト2製品に緊急性の高いぜい弱性があると公表した。製品に含まれるApacheサーバー用プラグインにぜい弱性があり、悪用されるとサーバー内のファイルを認証なしで見られてしまう。ぜい弱性の深刻度を示す「CVSS」は最高レベル(10.0)としている。
問題となったのは「WebLogic Server」と「WebLogic Express」。もともとは米BEAシステムズが「BEA WebLogic」シリーズとして提供していた製品だが、オラクルがBEAを買収した2008年4月以降は、オラクルの製品として販売とサポートをしている(関連記事)。
オラクルは現在セキュリティパッチを準備中。パッチの用意が完了するまでは、有効なURLの長さを4000バイト未満に設定する緊急回避策を推奨している(米オラクルのセキュリティ情報[英語])。この方法が使えない場合は、Apacheに追加して使うセキュリティ対策のオープンソースソフト「mod_security」を利用する選択肢もあるとする。ただしmod_securityはシステムに影響を与える可能性があるため、事前にテストをしてバックアップを取ってから適用すべきという。
なお、現時点で日本オラクルは日本語による情報提供はしていない。「現在、翻訳作業を進めており、近いうちに公開する」(広報)という。
