米国Oracleは、アプリケーション・サーバ「Oracle WebLogic Server」のパッチを緊急公開した。2週間前にロシアのセキュリティ調査会社がWebLogicの脆弱性の詳細を公表したためだ。

ロシアのセキュリティ調査会社、Intevydisのブログ

　この脆弱性はWebLogic付属のユーティリティであるノードマネージャに含まれる。WebLogicがファイアウォールで保護されていても、ハッカーがノードマネージャの管理ポートへのアクセスに成功すると壊滅的な結果になるおそれがあると、Oracleは述べている。

　「この脆弱性が悪用されると、標的にされたWindowsサーバが完全に乗っ取られるかもしれない。ほかのプラットフォーム（UNIX、Linuxなど）上では、攻撃者が、WebLogicサーバ・プロセスと同じ権限で標的サーバにアクセスできてしまう可能性がある」と、Oracleはこの問題に関するブログで述べた。

　Oracleは1月12日に最新のセキュリティ・パッチをリリースしたが、ロシアのIntevydisが1月23日、WebLogicの脆弱性の詳細を公表したことで、同ソフトウェアのパッチを緊急公開せざるをえなくなったと見られる。Intevydisは1月、数十件の脆弱性に関する情報を公表した。サーバやデータベースに含まれる多数の未パッチの脆弱性に注意を喚起する狙いだった。

　Oracleの広報担当者はWebLogicのパッチについてコメントを控えた。Oracleはセキュリティ・アラートのなかで、「この脆弱性の修正プログラムをできるだけ早急に適用することを強くお勧めする」と述べている。この脆弱性はWebLogicのVersions 7以降に影響する。

　IntevydisのCEO、イブジェニー・ルジェロフ（Evgeny Legerov）氏は、「これは非常に重大なバグだ。リモート攻撃によって、認証なしでOSコマンドが実行されるおそれがある」と説明した。

　ルジェロフ氏は、IntevydisがOracleに今回の脆弱性について事前に通報しなかったことを認めた。「われわれはリソースが限られているため、Oracleのために働くことはしない。責任ある開示の手順は踏んでいない」（同氏）