JPCERT-AT-2019-0020
JPCERT/CC
2019-04-28
Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
なお、報告者の一つである KnownSec 404 Team によりますと本脆弱性(CVE-2019-2725) は脆弱性 (CNVD-C-2019-48814) と同一であると述べられています。
JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html
JPCERT/CC では、脆弱性 (CNVD-C-2019-48814) を実証するとされる実証コードが公開されていることを確認しており、当該実証コードが動作することも確認しています。III. 対策を参考に早急な対応をご検討ください。
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0 ※
- Oracle WebLogic Server 10.3.6.0 ※
※パッチ情報の詳細については、4月27日時点の公開情報では確認できておりません。詳細については、Oracle 等に確認してください。
パッチを適用した場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
Oracle
Security Alert CVE-2019-2725 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2725-released
Oracle
Lifetime Support Stages for Your Oracle Products
https://www.oracle.com/support/lifetime-support/
JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
JPCERT/CC
2019-04-28
I. 概要
Oracle は 2019年4月26日 (現地時間) に Oracle WebLogic Server の脆弱性(CVE-2019-2725) を公開しました。公開された情報によると WebLogic Serverには、安全でないデシリアライゼーションの脆弱性が存在するとされています。本脆弱性を悪用することで、遠隔の第三者が、任意のコードを実行する可能性があります。Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
なお、報告者の一つである KnownSec 404 Team によりますと本脆弱性(CVE-2019-2725) は脆弱性 (CNVD-C-2019-48814) と同一であると述べられています。
JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html
JPCERT/CC では、脆弱性 (CNVD-C-2019-48814) を実証するとされる実証コードが公開されていることを確認しており、当該実証コードが動作することも確認しています。III. 対策を参考に早急な対応をご検討ください。
II. 対象
対象となるバージョンは次のとおりです。- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 10.3.6.0
III. 対策
Oracle から脆弱性を修正したパッチが公開されています。 修正済みのパッチを適用することをご検討ください。- Oracle WebLogic Server 12.1.3.0 ※
- Oracle WebLogic Server 10.3.6.0 ※
※パッチ情報の詳細については、4月27日時点の公開情報では確認できておりません。詳細については、Oracle 等に確認してください。
パッチを適用した場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。
IV. 参考情報
Oracle
Oracle Security Alert Advisory - CVE-2019-2725
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
Oracle
Security Alert CVE-2019-2725 Released
https://blogs.oracle.com/security/security-alert-cve-2019-2725-released
Oracle
Lifetime Support Stages for Your Oracle Products
https://www.oracle.com/support/lifetime-support/
JPCERT/CC
Oracle WebLogic Server の脆弱性 (CNVD-C-2019-48814) について
https://www.jpcert.or.jp/newsflash/2019042601.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/