Oracle Weblogic Server の wls-wsat コンポーネントにおけるデシリアライゼーションの不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.23(月)

Oracle Weblogic Server の wls-wsat コンポーネントにおけるデシリアライゼーションの不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

Oracle Weblogic Server に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

Oracle Weblogic Server に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、攻撃者に侵入されてしまう危険性や、管理者権限で意図しない動作を強制されてしまう可能性が考えられます。当該製品を運用している場合は、アップデートにより早急に対策することを推奨します。

◆分析者コメント

攻撃コードの作成が容易な脆弱性であるため、攻撃者が積極的に悪用を試みる脆弱性であると考えられます。近年はデシリアライゼーションの脆弱性が流行しており、OWASP TOP 10 にもデシリアライゼーションの不備に起因する脆弱性がランクインしたことから、今後同様の脆弱性の報告が増える可能性が考えられます。ブラックボックスでは検出されづらい脆弱性ではありますが、既製品のソフトウェアを利用している場合は、ソースコードを解析されることでデシリアライゼーションの脆弱性が発見される可能性があると考えられます。既製品のソフトウェアを利用している場合は、可能な限り早くアップデートするように心掛けましょう。また、Java に限らず、PHP や Ruby on Rails で作成されたアプリケーションにおいても同様の種類の脆弱性が報告されることがあるため、アプリケーションを独自開発している場合は、セキュアコーディングガイドなどを参考に、脆弱性を作りこまないよう注意することを推奨します。

◆深刻度(CVSS)

[CVSS v2]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2017-10271&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)

[CVSS v3]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-10271&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H


◆影響を受けるソフトウェア

以下のバージョンの Oracle Weblogic Server が当該脆弱性の影響を受けると報告されています。

    - Oracle Weblogic Server 10.3.6 0
    - Oracle Weblogic Server 12.2.1.2
    - Oracle Weblogic Server 12.2.1.1
    - Oracle Weblogic Server 12.1.3.0


◆解説

Java で作成されたソフトウェアのアプリケーションサーバ製品である Oracle Weblogic Server のコンポーネントに、デシリアライゼーションの不備に起因する脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

    メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

  2. Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

    Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

  3. 日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

    日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

  4. 受験者への合格通知を誤って2名分同封し発送(愛知県)

    受験者への合格通知を誤って2名分同封し発送(愛知県)

  5. サイバーセキュリティ技術者の「職人技」どこまで標準化できるか

    サイバーセキュリティ技術者の「職人技」どこまで標準化できるかPR

  6. 個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

    個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

  7. MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解

    MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解PR

  8. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  9. Scan BASIC 登録方法

    Scan BASIC 登録方法

  10. WebフィルタリングソフトとWeb分離・無害化製品を連携(ALSI、アシスト)

    WebフィルタリングソフトとWeb分離・無害化製品を連携(ALSI、アシスト)

ランキングをもっと見る