BEAからAdvisoriesが出たらしい
情報元はまっちゃさめ。
一つは遅まきながらJCE1.2.1の問題についての情報がアドバイザリとして公開されただけ。
他の二つは前回までに出された個別パッチの修正が“不完全”だったために再リリースとなったものです。
XSS脆弱性については、管理ポートを設定してアクセス制限施してたらリスクはかなり低いと思います。
運用環境のセキュリティについて
- http://www.beasys.co.jp/e-docs/wls/docs81/lockdown/practices.html
- http://www.beasys.co.jp/e-docs/wls/docs81/lockdown/secure.html#1122816
まっちゃさめのお望みの内容はWLS8.1はとりあえず、上記リンク先の内容が該当すると思います。
前者は
- WebLogic Server ホストのセキュリティ
- ネットワーク接続のセキュリティ
- データベースのセキュリティ
- WebLogic セキュリティ サービスのセキュリティ
- アプリケーションのセキュリティ
という内容が書いてあって、
後者はインストールするならSDK(JDK)ではなくてJREを使ってサンプルは削除しろーって事がちょろっと書かれてます。
前者の方が一応表形式で書いてあってわかりよいかも。
Advisoriesについて
現地(米国)時間の8/15なので今日出たみたいです。
- BEA05-83.00〜JCE1.2.1の期限切れ問題について〜
- BEA05-80.01〜管理コンソールのXSS脆弱性について〜
- BEA05-61.01〜HTTPSのクローズ漏れによるDoS攻撃について〜
#日本語情報も出たので日本サイトにリンク
JCE1.2.1の期限切れ(BEA05-083)についてはNotification(通告)になっており、内容もアプリケーションでJCE1.2.1を使ってると問題が発生すると言っているだけなのでWLSとしては問題がないということになります。発生する問題としては以下のように日本語サイトに書かれていました。
該当するユーザは、サーバのタイムゾーンの設定によって異なりますが、7月25日頃からJCE jarファイルのsignedBy節で失敗するようになります。サーバを再起動するまでの間は正常に動作しますが、再起動が失敗するようになります。
ただし、この通告で問題なのが対象がWebLogic7.0のみになっている点ですね。
J2SE1.3ラインのJVMを利用しているのはWebLogic7.0だけでなく、WebLogic6.1も利用しています。しかも、EOLを迎えていないのだからちゃんと検証してWebLogic6.1についても対象として入れて欲しかったですね。
#ユーザを軽視すると痛い目にあうということを理解してないのかな?
それ以外の二つについてはまた後ほどw
Advisoriesについて2
- BEA05-80.01のXSS脆弱性について
管理コンソール(console.war)自体がただのWebアプリケーションなのでそのパラメータを取得して処理する部分に任意のスクリプトを実行される問題が含まれていたというもの。
5月に出たAdvisoryで修正された内容はどうやら「;」で囲まれた部分を削除するだけとかだったみたいだけど、「;」がなくてもスクリプトは実行されてしまうので再修正っぽい。
#尚、検証はまだしてませんので直ってるか不明だったり(^_^;
- BEA05-61.01のDoS攻撃の可能性について
HTTPS通信中にユーザの操作内容に起因してソケットのクローズ処理を行うときにクローズ出来てなくてFD(ファイルディスクリプタ)が枯渇してしまう可能性があるというもの。
これにより新規のリクエストを受け付けられなくなったり、ログファイルのローテーション時に新しいファイルの為にFDを取得できないために失敗したりしてサーバのプロセス自体は生きているのにサーバがSTALL(停止)している様に見えたりする。
おそらくサーバにRSTが返ってきたりhandshakeの途中でFINが返ってきたときのエラー処理に問題があってソケットをクローズされずに残っちゃうんだろうなぁとか想像してます。
#パッチの中身はjavax.net.ssl.impl.SSLSocketImpl.classなので
#SSLSocketの実装に問題があっ他っぽい。
さて、
検証はどうしようか(^_^;
