Oracle WebLogic Serverの複数の脆弱性(2016年1月CPU)

high Nessus プラグイン ID 88053

概要

リモートホストにインストールされているアプリケーションサーバーは、複数の脆弱性による影響を受けます。

説明

リモートホストにインストールされている Oracle WebLogic Server のバージョンは、複数の脆弱性による影響を受けます。

- Sites サブコンポーネントは、FEATURE_SECURE_PROCESSING が有効な場合に特定のプロパティへのアクセスを適切に制限することに失敗するため、Apache Xalan-Java ライブラリで、セキュリティバイパスの脆弱性の影響を受けます。リモートの攻撃者が、これを悪用して制限をバイパスし、任意のクラスをロードしたり、外部リソースにアクセスしたりする可能性があります。
(CVE-2014-0107)

- WLS Security コンポーネントは、Apache Commons Collections(ACC)ライブラリへの認証されていない Java オブジェクトの呼び出しを安全に逆シリアル化しないため、リモートコード実行の脆弱性の影響を受けます。リモートの攻撃者は、これを悪用して、TCPポート7001へのT3プロトコルトラフィックで、細工されたシリアル化済みのJavaオブジェクトを通じて、任意のコマンドを実行する可能性があります。(CVE-2015-4852)

- WLS-Console サブコンポーネントに詳細不明な脆弱性が存在するため、リモートの攻撃者は、システムの整合性に影響を与えることが可能です。これ以上の詳細情報はありません。(CVE-2016-0464)

- Coherence Container サブコンポーネントに詳細不明な脆弱性が存在するため、リモートの攻撃者は、システムの機密性、整合性、可用性に影響を与えることが可能です。これ以上の詳細情報はありません。
(CVE-2016-0572)

- WLS Java Messaging Service サブコンポーネントに詳細不明な脆弱性が存在するため、リモートの攻撃者は、システムの機密性、整合性、可用性に影響を与えることが可能です。これ以上の詳細情報はありません。(CVE-2016-0573)

- WLS Core Components サブコンポーネントに複数の詳細不明な脆弱性が存在するため、リモートの攻撃者は、システムの機密性、整合性、可用性に影響を与えることが可能です。これ以上の詳細情報はありません。(CVE-2016-0574、CVE-2016-0577)

ソリューション

January 2016 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?d13bbe45

http://www.nessus.org/u?e0203be3

http://www.nessus.org/u?9c6d83db

プラグインの詳細

深刻度: High

ID: 88053

ファイル名: oracle_weblogic_server_cpu_jan_2016.nbin

バージョン: 1.436

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2016/1/21

更新日: 2024/6/13

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2016-0577

脆弱性情報

CPE: cpe:/a:oracle:weblogic_server, cpe:/a:oracle:fusion_middleware

必要な KB アイテム: installed_sw/Oracle WebLogic Server

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/1/19

脆弱性公開日: 2014/3/24

CISA の既知の悪用された脆弱性の期限日: 2022/5/3

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

Metasploit (Oracle Weblogic Server Deserialization RCE - Raw Object)

参照情報

CVE: CVE-2014-0107, CVE-2015-4852, CVE-2016-0464, CVE-2016-0572, CVE-2016-0573, CVE-2016-0574, CVE-2016-0577

BID: 66397, 77539

CERT: 576313

IAVA: 2015-A-0287