【注意喚起】Oracle WebLogic Server の脆弱性に関する注意喚起

Oracle WebLogic Server の脆弱性に関する注意喚起がありました。

I. 概要
2020年4月30日(現地時間)、Oracle は Oracle WebLogic Server の脆弱性に関連して、顧客に対して
「Security Notification (Doc ID 2664856.1)」を発行したとのリリースがありました。

　Customers should apply the April 2020 Critical Patch Update without delay!

　Security Notification for WLS CVE-2020-2883 in Java Cloud Service (要 Oracle アカウント)

Oracle は、2020年4月14日(現地時間) にリリースした 2020年4月のクリティカルアップデートにより
修正した脆弱性について複数の実証コードがあるとして、アップデートの適用を呼びかけており、特に
脆弱性 (CVE-2020-2883) について注意を呼び掛けています。

脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたりするなどの可能性
があります。対象となる製品を利用している場合には、「III.対策」および「IV. 回避策」の適用等を検討
してください。

II. 対象
　- Oracle WebLogic Server 12.2.1.4.0
　- Oracle WebLogic Server 12.2.1.3.0
　- Oracle WebLogic Server 12.1.3.0.0
　- Oracle WebLogic Server 10.3.6.0.0

III. 対策
Oracle から、修正済みソフトウエアが 2020年4月のクリティカルアップデートにて公開されています。

製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。利用するアプリケーションへの影響を考慮した上で、更新してください。

IV. 回避策
脆弱性 (CVE-2020-2883) の悪用につながる可能性のある T3/T3s の各プロトコルへの適切なアクセス制限 (フィルタ) を設定することを検討してください。また、2020年4月のクリティカルアップデートにて修正
されている Oracle Weblogic Serverの脆弱性には、T3/T3s 以外にも GIOP (IIOP/IIOPs) に関係するもの
もあります。Oracle WebLogic Server における脆弱性の悪用を防ぐ上でも、これらの各プロトコルに対して、適切なアクセス制限 (フィルタ)を確認・設定し、必要なアクセスのみに限定することを検討してください。

フィルタ設定に関する詳細は Oracle のドキュメントを参照してください。

　Oracle
　ネットワーク接続フィルタの使い方

V. 参考情報
　Oracle Corporation
　Oracle Critical Patch Update Advisory - April 2020

　2020年4月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起