こんにちは。C&S技術統括部のかみゃです。
朝晩、だいぶ寒くなってきましたね。
皆様におかれましては、お風邪など召さぬようご自愛ください。
Oracle社より以下のセキュリティアドバイザリが公開されました。
Oracle Security Alert - CVE-2020-14750
以下のバージョンのOracle Weblogicの脆弱性を悪用すると、認証なしでリモートから任意のコードが実行可能となります。
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
これは以下のWebLogicの複数の脆弱性に関連するものです。
CVE-2020-14882
CVE-2020-14883
詳細については以下をご参照下さい(MITREのサイトです)。
既にOracle社よりクリティカルパッチアップデートが公開されておりますので、可能な場合は速やかに適用して下さい。
Oracle Critical Patch Update Advisory - October 2020
速やかにパッチ適用ができない場合、この脆弱性(CVE-2020-14882)に対応したTippigPointのフィルタ#9471がリリースされておりますので、TippigPointをお使いのお客様でこのフィルタが適用されていればパッチ適用までの間に一時的な対策が可能です。
TippigPointのフィルタ適用、確認方法については弊社サポートサイトの記事をご参照下さい。
記事は1000文字ルールというのがありまして、嵩増し担当のワタクシが、かみゃさんに変わって、少し追記をさせていだだこうと思います。
脆弱性に対するパッチングの遅れが致命傷になることもあります。この1、2年でそういった企業様を何件か見てきました。ただ、セキュリティパッチは必ず、すぐにでも適用してください、と言っても運用上の事情からそうはいかないケースも多いです。企業様によっては、設定作業を外部委託しているケースもあります。
そういった点で、TippingPointのDigital Vaccineフィルタを介して、仮想パッチとネットワーク攻撃が可能な脆弱性に対する保護をすることを弊社では推奨させていただいております。
ご参考:
仮想パッチによるパッチ管理と脆弱性対策 | トレンドマイクロ セキュリティブログ
以上、よろしくお願いいたします。
- カテゴリ:
- 技術情報