タグ

mod_securityに関するtsupoのブックマーク (1)

  • WebLogicに深刻なぜい弱性、認証なしでファイルを見られる恐れ

    米オラクルは2008年7月28日(米国時間)、アプリケーションサーバーソフト2製品に緊急性の高いぜい弱性があると公表した。製品に含まれるApacheサーバー用プラグインにぜい弱性があり、悪用されるとサーバー内のファイルを認証なしで見られてしまう。ぜい弱性の深刻度を示す「CVSS」は最高レベル(10.0)としている。 問題となったのは「WebLogic Server」と「WebLogic Express」。もともとは米BEAシステムズが「BEA WebLogic」シリーズとして提供していた製品だが、オラクルがBEAを買収した2008年4月以降は、オラクルの製品として販売とサポートをしている(関連記事)。 オラクルは現在セキュリティパッチを準備中。パッチの用意が完了するまでは、有効なURLの長さを4000バイト未満に設定する緊急回避策を推奨している(米オラクルのセキュリティ情報[英語])。この

    WebLogicに深刻なぜい弱性、認証なしでファイルを見られる恐れ
    tsupo
    tsupo 2008/07/31
    米オラクルは2008年7月28日(米国時間)、アプリケーションサーバーソフト2製品に緊急性の高いぜい弱性があると公表した → なんで Oracle から公表されるのかと不思議に思ったら、BEA を買収したからか。なるほど
  • 1