Oracle Technology Network
Topics
Security
Topics
Security
セキュリティアドバイザリ
このページにて、2009年4月14日までのセキュリティ勧告が確認できます。それ以降のセキュリティ勧告は下記 URL にて確認できます。
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm
Oracle では、皆様のプロジェクトに影響を与える可能性のある重要な製品関連情報をお知らせいたします。
BEA 製品にセキュリティ関連の問題が見つかった場合、Oracle では、その報告のほか、適切な対策を示した指示を配信させていただく方針です。お客様のサイト、データ、およびコードのセキュリティは当社にとって最優先 事項ですので、セキュリティ関連の問題をお伝えします。
- セキュリティ・アドバイザリの英語版の配信を登録するには、こちらの指示に従ってください。
- 簡易な通知としてアドバイザリRSS Feedの登録も可能です。
- セキュリティ上の問題は、secalert_jp@oracle.com に電子メールをお送りいただくことで、Oracleに報告可能です。
ご注意: Oracleの2008年7月のクリティカルパッチアップデートから適用されます。
- BEA製品のセキュリティ勧告の情報の提供は下記URL(英文)にて書いてあるポリシーに従います。
http://www.oracle.com/technology/deploy/security/securityfixlifecycle.html - BEA製品のセキュリティ勧告は脆弱性の評価を付けるため、CVSS評価を使います。下記URL(英文)の説明を確認下さい。
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.htm
脅威と重大度の評価は設定しません。 - BEA製品のセキュリティ勧告は従来のBEA番号の代わりにCVE(Common Vulnerabilities and Exposure )識別番号を今後使います。
詳細の説明のため、下記URL(英文)を参照下さい。
http://www.oracle.com/technology/deploy/security/cpu/cpufaq.htm
- 参考: 日本オラクル セキュリティアラート(日本語)
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm
2009年1月のBEA製品のセキュリティ勧告のハイレベルの要旨は下記URL(英文)にあります。
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2009.html#AppendixH
セキュリティ勧告でWLS 9.1以降を対象とするパッチが公開された場合、BEA Smart Update を使用してダウンロード/適用して頂くことになります。 BEAログインIDの日本語版登録画面はこちらからどうぞ。
Oracleのすべてのクリティカルパッチのアップデートとセキュリティ勧告は下記URLにあります。
http://www.oracle.com/technology/deploy/security/alerts.htm(英文)
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm
ご注意:2008年8月25日より、2009年4月13日までの Oracle JRockit のセキュリティ勧告は下記 URL にて確認できます。
http://www.oracle.com/technology/global/jp/deploy/security/beaarchive/jrockitindex.html
以下は、最近行われたすべての通知を要約したものですが、最新情報については US のSecurity Advisoriesを参照してください。
| 日付 | 番号 | 概要 | タイプ | 脅威
* |
重大度
** |
CVSS評価
*** |
影響を受ける製品
**** |
| 2009年4月14日 | CVE-2009-1016 | Apache、SunおよびIIS Webサーバ用WebLogicプラグインのセキュリティ脆弱性 | advisory | - | - | 8.5 (高) | 2009年4月14日以前のプラグイン |
| 2009年4月14日 | CVE-2009-1012 | ApacheおよびIIS Webサーバ用WebLogicプラグインのセキュリティ脆弱性 | advisory | - | - | 10.0 (高) | 2009年4月14日以前のプラグイン |
| 2009年4月14日 | CVE-2009-1006 | JRockitの複数のセキュリティ脆弱性 | advisory | - | - | 10.0 (高) | JRockit R27.6.2およびそれ以前のリリース |
| 2009年4月14日 | CVE-2009-1005 | Oracle Data Service IntegratorおよびAquaLogic Data Services Platformの権限の昇格の脆弱性 | advisory | - | - | 4.1 (中) | ALDSP 10.3.0
ALDSP 3.2 ALDSP 3.0.1 ALDSP 3.0 |
| 2009年4月14日 | CVE-2009-1004 | WebLogic Server Webサービスのセキュリティの強化 | advisory | - | - | 4.0 (低) | WLS 10.3 |
| 2009年4月14日 | CVE-2009-1003 | WebLogic ServerのWebページにおけるソースコードの漏洩 | advisory | - | - | 5.0 (中) | WLS 10.3
WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 |
| 2009年4月14日 | CVE-2009-1002 | WebLogic Serverの権限の昇格の脆弱性 | advisory | - | - | 5.8 (中) | WLS 10.3
WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (SP6) WLS 7.0 (SP7) |
| 2009年4月14日 | CVE-2009-1001 | WebLogic Portalの権限の昇格の脆弱性 | advisory | - | - | 5.5 (中) | WLP 8.1 (-SP6) |
| 2009年1月13日 | CVE-2008-5462 | WebLogic Portalの権限の昇格の脆弱性 | advisory | - | - | 6.8 (中) | WLP 10.3 GA
WLP 10.2 GA WLP 10.0 (-MP1) WLP 9.2 (-MP3) WLP 8.1 (-SP6) |
| 2009年1月13日 | CVE-2008-5461 | WebLogic Consoleの権限の昇格の脆弱性 | advisory | - | - | 6.8 (中) | WLS 10.3
WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) |
| 2009年1月13日 | CVE-2008-5460 | JSPおよびサーブレットの情報漏洩の脆弱性 | advisory | - | - | 2.6 (低) | WLS 10.3 GA
WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 |
| 2009年1月13日 | CVE-2008-5459 | WLS Webサービスに実行できないセキュリティポリシー | advisory | - | - | 5.0 (中) | WLS 10.3 GA |
| 2009年1月13日 | CVE-2008-5457 | Apache、SunおよびIIS Webサーバ用WebLogicプラグインのセキュリティ脆弱性 | advisory | - | - | 10.0 (高) | WLS 10.3
WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) |
| 2008年10月14日 | CVE-2008-4013 | 保護されているWebアプリケーションが特定の状況下で表示される | 勧告 | - | - | 6.8 (中) | WLS 10.0 (-MP1)
WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (SP4 -SP6) |
| 2008年10月14日 | CVE-2008-4012 | 一部のNetUIページフローに存在する権限の昇格の脆弱性 | 勧告 | - | - | 5.1 (中) | WLW 8.1 (-SP5) |
| 2008年10月14日 | CVE-2008-4011 | 一部のアプリケーションに対する権限の昇格 | 勧告 | - | - | 2.1 (低) | WLS 10.0 (-MP1)
WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 |
| 2008年10月14日 | CVE-2008-4010 | 一部のNetUIタグに存在する権限の昇格の脆弱性 | 勧告 | - | - | 6.8 (中) | WLW 10.3 GA
WLW 10.2 GA WLW 10.0 (-MP1) WLW 9.2 (-MP3) WLW 9.1 GA WLW 9.0 GA WLW 8.1 (-SP6) |
| 2008年10月14日 | CVE-2008-4009 | 2つ以上の認可プロバイダを使用している場合の権限の昇格の脆弱性 | 勧告 | - | - | 5.1 (中) | WLS 9.1 |
| 2008年10月14日 | CVE-2008-4008 | Apache用WebLogicプラグインのセキュリティ脆弱性 | 勧告 | - | - | 10.0 (高) | WLS 10.3
WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) WLS 6.1 (-SP7) |
| 2008年8月4日 | CVE-2008-3257 | Apache Web サーバ用の WebLogic プラグインにおけるセキュリティ脆弱性とパッチの提供 | 勧告 | - | - | 10.0 (高) | 2008年7月28日以前のプラグイン |
| 2008年7月15日 | CVE-2008-2582 | WebLogic Serverでサービス拒否 (DoS) 脆弱性が生じる | 勧告 | - | - | 5.0 (中) | WLS 10.0 (-MP1)
WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) |
| 2008年7月15日 | CVE-2008-2581 | UDDI Explorerの権限の昇格の脆弱性 | 勧告 | - | - | 5.1 (中) | WLS 10.0 (-MP1)
WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) |
| 2008年7月15日 | CVE-2008-2580 | JSPページにおける情報漏洩 | 勧告 | - | - | 2.6 (低) | WLS 10.0 (-MP1)
WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 |
| 2008年7月15日 | CVE-2008-2579 | Apache、SunおよびIIS Webサーバ用のWebLogicプラグインの情報漏洩の脆弱性 | 勧告 | - | - | 6.8 (中) | 2008年7月15日以前のPlug-in |
| 2008年7月15日 | CVE-2008-2578 | WebLogicコンソールまたはサーバログの情報漏洩の脆弱性 | 勧告 | - | - | 4.3 (中) | WLS 10.0
WLS 9.2 (-MP1) |
| 2008年7月15日 | CVE-2008-2577 | コンソールおよびWLSTの権限の昇格の脆弱性 | 勧告 | - | - | 4.6 (中) | WLS 9.2 MP1 |
| 2008年7月15日 | CVE-2008-2576 | ForeignJMSコンポーネントの情報漏洩の脆弱性 | 勧告 | - | - | 4.1 (中) | WLS 9.2
WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) |
| 2008年4月16日 | BEA08-201.00 | Java Runtime Environmentの複数のセキュリティ脆弱性 | 勧告 | 高 | 高 | 9.0 (高) | JRockit R27.5.0およびそれ以前のリリース |
| 2008年2月19日 | BEA08-200.00 | サーバのファイルがリモートユーザにアクセスされる | 勧告 | 高 | 高 | 7.8 (高) | BEA AquaLogic Collaboration 4.2(-MP1)
BEA Plumtree Collaboration 4.1(-SP2) |
| 2008年2月19日 | BEA08-199.00 | 巧妙に構築されたURLがSun、IISまたはApache webサーバをクラッシュさせる | 勧告 | 高 | 高 | 5 (中) | WLS プラグイン |
| 2008年2月19日 | BEA08-198.00 | Java Web StartとブラウザのJava Plug-inの複数のセキュリティ脆弱性 | 勧告 | 低 | 中 | 2.4 (低) | JRockit R24.3-1.4.2_04からR24.5-1.4.2_08
JRockit R25.0-1.5.0からR25.2-1.5.0_03 |
| 2008年2月19日 | BEA08-197.00 | アカウントのロックが回避され総当たり(brute-force)パスワード攻撃によってアカウントが漏洩する | 勧告 | 中 | 中 | 6.8 (中) | WLS10.0(-MP1)
WLS9.2(-MP2) WLS9.1 WLS9.0 WLS8.1(-SP6) WLS7.0(-SP7) |
| 2008年2月19日 | BEA08-196.00 | セッション固定(session fixation)攻撃による権限の昇格 | 勧告 | 低 | 高 | 6.8 (高) | WLS10.0
WLS9.2(-MP1) WLS8.1(SP4-SP6) |
| 2008年2月19日 | BEA08-195.00 | コンソールのUnexpected Exceptionページのクロスサイトスクリプティング(XSS)脆弱性 | 勧告 | 中 | 高 | 6.1 (中) | WLS10.0
WLS9.2(-MP1) WLS9.1 WLS9.0 |
| 2008年2月19日 | BEA08-194.00 | 未認可のユーザが保護された分散キューにメッセージを送信する | 勧告 | 中 | 高 | 8.3 (高) | WLS10.0
WLS9.2(-MP1) WLS9.1 WLS9.0 |
| 2008年2月19日 | BEA08-193.00 | 未認可のユーザがセキュリティで保護されたJMSトピック送り先からメッセージを受信する | 勧告 | 中 | 高 | 8.3 (高) | WLS10.0
WLS9.2(-MP1) WLS9.1 WLS9.0 |
| 2008年2月19日 | BEA08-192.00 | ポータルページの一つでコンテンツ ポートレットが削除されるとアプリケーションの全ての資格が削除される | 勧告 | 低 | 中 | 3.6 (低) | WLP10.0
WLP9.2(-MP1) |
| 2008年2月19日 | BEA08-191.00 | HTMLリクエストヘッダのタンパリングによる権限の昇格 | 勧告 | 高 | 中 | 6.4 (中) | WLS10.0
WLS9.2(-MP1) WLS9.1 WLS9.0 WLS8.1(-SP6) WLS7.0(-SP7) WLS6.1(-SP7) |
| 2008年2月19日 | BEA08-190.00 | WebLogic Portal Administration Consoleのセッションが意図せずhttpsポートからhttpポートへリダイレクトされる | 勧告 | 中 | 高 | 8.8 (高) | WLP10.0
WLP9.2(-MP2) |
| 2008年2月19日 | BEA08-189.00 | WebLogic WorkshopのNetUIまたはApache BeehiveのNetUIページフローを使用するWebアプリケーションのクロスサイトスクリプティング(XSS)脆弱性 | 勧告 | 高 | 高 | 6.8 (中) | WLW10.0
WLW9.2(-MP1) WLW9.1 WLW9.0 WLW8.1(-SP6) |
| 2008年2月19日 | BEA08-188.00 | JavaScriptがWLP Groupspaceアプリケーションに注入されXSSを悪用される | 勧告 | 中 | 中 | 4.0 (低) | WLP10.0
WLP9.2(-MP1) |
| 2008年2月19日 | BEA08-187.00 | WebサービスのWSDLとポリシーが認証されないHTTPクライアントに漏洩する | 勧告 | 中 | 低 | 2.6 (低) | WLS9.1
WLS9.0 |
| 2008年2月19日 | BEA08-186.00 | BEA Plumtree Portalのクロスサイトスクリプティング(XSS)脆弱性 | 勧告 | 中 | 中 | 5 (中) | BEA Plumtree Foundation 6.0(-SP1)
BEA AquaLogic Interaction 6.1(-MP1) |
| 2008年2月19日 | BEA08-185.00 | WebLogic WorkshopのNetUIページフローを使用するWebアプリケーションのクロスサイトスクリプティング(XSS)脆弱性 | 勧告 | 高 | 高 | 7.6 (高) | WLW8.1(-SP5) |
| 2008年2月19日 | BEA08-184.00 | 浮動ポートレットのインスタンスの資格が回避される | 勧告 | 低 | 中 | 4.3 (中) | WLP8.1(-SP6) |
| 2008年2月19日 | BEA08-183.00 | WebLogic Portalページのセキュリティ ポリシーがそのページ上で特定の編集操作を行う管理者によって不注意に失われる | 勧告 | 低 | 中 | 2.1 (低) | WLP8.1(SP3-SP6) |
| 2008年2月19日 | BEA08-159.01 | WebLogicプロキシ サーブレットを介したリクエストによる権限の昇格 | 勧告 | 中 | 高 | 5.6 (中) | WLS9.1
WLS9.0 WLS8.1(-SP5) WLS7.0(-SP7) WLS6.1(-SP7) |
| 2008年2月19日 | BEA08-110.01 | config.xmlにデータベース パスワードがクリアテキストで保存される | 勧告 | 低 | 中 | WLP8.1(-SP3)
WLP7.0(SP4-SP7) |
|
| 2008年2月19日 | BEA08-80.04 | クロスサイトスクリプティング(XSS)に対する複数の脆弱性を保護するためのパッチの提供 | 勧告 | 高 | 高 | WLS10.0(-MP1)
WLS9.2(-MP2) WLS9.1 WLS9.0 WLS8.1(-SP6) WLS7.0(-SP7) WLS6.1(-SP7) |
|
| 2007年12月12日 | BEA07-182.00 | アプリケーションファイルとリソースがリモートでアクセスされる | 勧告 | 中 | 高 | 8.0 (高) | WLMS 3.3
WLMS 3.5 WLMS 3.6 (-SP1) |
| 2007年11月30日 | BEA07-181.00 | BEA Plumtree Foundationの検索機能が未認証のゲストユーザーにユーザーオブジェクトの検索を許可する | 勧告 | 中 | 中 | 4.7 (中) | BEA Plumtree Foundation 6.0
BEA AquaLogic Interaction 6.1 BEA AquaLogic Interaction 6.1 MP1 |
| 2007年11月30日 | BEA07-180.00 | BEA Plumtree Foundationフルバージョン脆弱性 | 勧告 | 低 | 低 | 2.3 (低) | BEA Plumtree Foundation 6.0
BEA AquaLogic Interaction 6.1 BEA AquaLogic Interaction 6.1 MP1 |
| 2007年11月30日 | BEA07-179.00 | BEA Plumtree Foundation内部ホスト名漏洩の脆弱性 | 勧告 | 低 | 低 | 2.3 (低) | BEA Plumtree Foundation 6.0
BEA AquaLogic Interaction 6.1 BEA AquaLogic Interaction 6.1 MP1 |
| 2007年8月28日 | BEA07-178.00 | Java Secure Socket ExtensionがSSL/TLSハンドシェイク要求を適切に処理せずサービス拒否(DoS)状態になる | 勧告 | 高 | 高 | 3.3 (低) | BEA JRockit R27.3.1およびそれ以前のリリース |
| 2007年8月28日 | BEA07-177.00 | Java Runtime Environmentの複数のセキュリティ脆弱性 | 勧告 | 高 | 高 | 5.3 (中) | BEA JRockit R27.3.1およびそれ以前のリリース
BEA JRockit 7.0 SP6 RP1およびそれ以前のリリース |
| 2007年8月28日 | BEA07-176.00 | サーバがSSLクライアントとのSSL通信でNull 暗号化を含む暗号スイートを選択する | 勧告 | 中 | 中 | 5.9 (中) | WLS10.0
WLS9.2(-MP1) WLS9.1 WLS9.0 WLS8.1(-SP6) WLS7.0(-SP7) |
| 2007年8月28日 | BEA07-175.00 | SSLクライアントがすべての考えられる暗号スイートを見つけられずにデフォルトのNull 暗号化(非暗号化)を使用する | 勧告 | 中 | 中 | 5.9 (中) | WLS10.0
WLS9.2(-MP2) WLS9.1 WLS9.0 WLS8.1(SP2-SP6) WLS7.0SP7 |
| 2007年8月28日 | BEA07-148.01 | 不正なヘッダがディスクを消費する | 勧告 | 高 | 中 | WLS7.0(-SP7)
WLS6.1(-SP7) |
|
| 2007年8月28日 | BEA07-87.02 | 悪意のあるクライアントがサーバのスレッドをハングさせる | 勧告 | 高 | 高 | WLS8.1(-SP4)
WLS7.0(-SP7) WLS6.1(-SP7) |
|
| 2007年5月23日 | BEA07-164.01 | デプロイをおこなうWebLogic管理者がアーカイブをアップロードする際にセキュリティポリシーが適用されない | 勧告 | 中 | 高 | 4.8 (中) | WLS9.1
WLS9.0 |
| 2007年5月14日 | BEA07-174.00 | 信頼できないアプレットの権限の昇格 | 勧告 | 高 | 高 | 8.0 (高) | BEA JRockit R26.0.0 1.4.2_07および
BEA JRockit R26.0.0 1.5.0_04より以前のリリース |
| 2007年5月14日 | BEA07-173.00 | Java Web Startで起動されるアプリケーションの権限の昇格 | 勧告 | 中 | 中 | 5.6 (中) | BEA JRockit R26.0.0 1.4.2_07および
BEA JRockit R26.0.0 1.5.0_04より以前のリリース |
| 2007年5月14日 | BEA07-172.00 | GIFイメージ処理でのバッファオーバーフロー | 勧告 | 高 | 高 | 8.0 (高) | BEA JRockit R26.0.0 1.4.2_07および
BEA JRockit R26.0.0 1.5.0_04より以前のリリース |
| 2007年5月14日 | BEA07-171.00 | 信頼できないアプレットが権限の昇格のために直列化状態を悪用する | 勧告 | 高 | 高 | 8.0 (高) | BEA JRockit R26.0.0 1.4.2_07および
BEA JRockit R26.0.0 1.5.0_04より以前のリリース |
| 2007年5月14日 | BEA07-170.00 | 開発モードでのファイル名の漏洩 | 勧告 | 低 | 中 | 3.3 (低) | WLI9.2
WLI8.1(SP2-SP6) |
| 2007年5月14日 | BEA07-169.00 | WebLogic SSLがRSA鍵のexponentが3の場合、RSA署名を正しく検証しない | 勧告 | 高 | 中 | 5.6 (中) | WLS9.2
WLS9.1 WLS9.0 WLS8.1(-SP6) WLS7.0(-SP7) |
| 2007年5月14日 | BEA07-168.00 | SSLポートがサービス拒否(DoS)攻撃の影響を受ける | 勧告 | 低 | 低 | 1.9 (低) | WLS9.2
WLS9.1 WLS9.0 |
| 2007年5月14日 | BEA07-167.00 | 意図しない資格の破損が保護されたリソースへの不正アクセスをもたらす
|
勧告 | 低 | 低 | 2.2 (低) | WLP9.2 |
| 2007年5月14日 | BEA07-166.00 | WebLogic Portal Groupspaceアプリケーションへのクロスサイトスクリプティング攻撃 | 勧告 | 高 | 高 | 3.4 (低) | WLP9.2 |
| 2007年5月14日 | BEA07-165.00 | WebLogic JMSメッセージ ブリッジが保護されたキューにアクセスするための適切な資格を検証しない | 勧告 | 中 | 低 | 2.2 (低) | WLS8.1(-SP6)
WLS7.0(-SP7) |
| 2007年5月14日 | BEA07-163.00 | configToScriptで生成されるWLSTスクリプトが新規ドメイン作成時の機密属性を暗号化しない | 勧告 | 低 | 中 | 2.3 (低) | WLS9.1
WLS9.0 |
| 2007年5月14日 | BEA07-162.00 | WebLogic consoleが特定のWebサービスの機密属性を平文で表示する | 勧告 | 低 | 中 | 2.3 (低) | WLS9.0 |
| 2007年5月14日 | BEA07-161.00 | WebLogic Serverの組み込みLDAPが総当たり(brute-force)攻撃の影響を受ける | 勧告 | 中 | 高 | 5.6 (中) | WLS9.1
WLS9.0 WLS8.1(-SP5) WLS7.0(-SP6) |
| 2007年5月14日 | BEA07-160.00 | WebLogic JMSサーバでセキュリティポリシーが有効にならない | 勧告 | 中 | 中 | 5.6 (中) | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
| 2007年5月14日 | BEA07-158.00 | Tuxedoのcnsbind、cnsunbindおよびcnslsコマンドで機密情報が平文でecho(画面表示)される | 勧告 | 低 | 高 | 2.9 (低) | Tuxedo8.0
Tuxedo8.1 WLE5.1 |
| 2007年1月16日 | BEA07-157.00 | AquaLogic Service Busのプロキシ サービスの認可チェックが実行されない | 勧告 | 中 | 中 | ALSB2.5
ALSB2.1 ALSB2.0 |
|
| 2007年1月16日 | BEA07-156.00 | WebLogic Portalの資格ポリシーが意図せず破損する | 勧告 | 低 | 高 | WLP9.2 | |
| 2007年1月16日 | BEA07-155.00 | BEA JRockitを使用する製品のオーバーフロー状態 | 勧告 | 高 | 高 | WLPL8.1(-SP5)
WLS8.1(-SP5) JRockit 1.4.2 R24.5 |
|
| 2007年1月16日 | BEA07-154.00 | Active Directory LDAPサーバのユーザを無効化するためのアップグレードおよびパッチ | 勧告 | 中 | 高 | ALES2.2
ALES2.1(-SP1) ALES2.0(-SP2) |
|
| 2007年1月16日 | BEA07-153.00 | 監査イベントが誤った重大度でポストされる | 勧告 | 低 | 中 | ALES2.2
ALES2.1(-SP1) ALES2.0(-SP2) |
|
| 2007年1月16日 | BEA07-152.00 | WebLogic Server Netscape Enterprise Serverプロキシ プラグインの複数の脆弱性 | 勧告 | 高 | 高 | WLS Netscape Enterprise Serverプロキシ プラグイン | |
| 2007年1月16日 | BEA07-151.00 | アクセス制限が意図せず無効化する | 勧告 | 低 | 高 | WLP9.2 | |
| 2007年1月16日 | BEA07-150.00 | Solaris 9上のWebLogic Serverに対するサービス拒否(DoS)攻撃 | 勧告 | 高 | 高 | WLS9.2
WLS9.1 WLS9.0 |
|
| 2007年1月16日 | BEA07-149.00 | セキュリティ ポリシーの変更が管理対象サーバに反映されない | 勧告 | 高 | 高 | WLS9.1 | |
| 2007年1月16日 | BEA07-147.00 | 不正なHTTPリクエストが前のリクエストのデータを漏洩する | 勧告 | 高 | 低 | WLS9.1
WLS9.0 |
|
| 2007年1月16日 | BEA07-146.00 | Apache webサーバ プロキシ プラグインのサービス拒否(DoS)脆弱性 | 勧告 | 高 | 高 | WLS Apacheプラグイン | |
| 2007年1月16日 | BEA07-145.00 | 配列の引数を持つEJBメソッドのパーミッションが実行されない | 勧告 | 中 | 低 | WLS9.1
WLS9.0 WLS8.1(-SP5) WLS7.0(-SP6) |
|
| 2007年1月16日 | BEA07-144.00 | WebLogic Server 6.1互換レルム使用時にEJB呼び出しが管理者権限で意図せず実行される | 勧告 | 中 | 高 | WLS9.1
WLS9.0 WLS8.1(-SP5) WLS7.0(-SP7) |
|
| 2007年1月16日 | BEA07-143.00 | WS-Securityランタイムが証明書の復号化に失敗する | 勧告 | 低 | 低 | WLS9.1
WLS9.0 |
|
| 2007年1月16日 | BEA07-142.00 | 展開形式のjarファイルとしてデプロイされたアプリケーションの動的な更新が不正なアクセスチェックを引き起こす | 勧告 | 中 | 中 | WLS8.1(-SP5) | |
| 2007年1月16日 | BEA07-141.00 | 高負荷時のエラーページ処理でSocket muxerスレッドがブロックされる | 勧告 | 低 | 高 | WLS9.0
WLS8.1(-SP5) WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2007年1月16日 | BEA07-140.00 | オフライン コンフィグレーションで機密の属性が平文で保存される | 勧告 | 低 | 中 | WLS8.1(-SP5) | |
| 2007年1月16日 | BEA07-139.00 | .earまたは展開形式の.earファイルのデプロイ時にアプリケーション ファイルが漏洩する | 勧告 | 高 | 高 | WLS8.1(-SP5)
WLS7.0(-SP7) WLS6.1(-SP7) |
|
| 2007年1月16日 | BEA07-138.00 | WebLogicのwebサービス クライアントの証明書検証の問題 | 勧告 | 高 | 低 | WLS9.1
WLS9.0 WLS8.1(-SP5) |
|
| 2007年1月16日 | BEA07-137.00 | 不正なスレッド管理がサーバの使用不能を引き起こす | 勧告 | 高 | 高 | WLS9.1
WLS9.0 WLS8.1(-SP5) WLS7.0(-SP6) |
|
| 2007年1月16日 | BEA07-136.00 | JDBCDataSourceFactory Mbeanのパスワードが暗号化されない | 勧告 | 低 | 中 | WLS9.0
WLS8.1(-SP4) WLS7.0(-SP6) |
|
| 2007年1月16日 | BEA07-135.00 | WebLogic Serverの証明書の検証状態 | 勧告 | 中 | 中 | WLS8.1(-SP4) | |
| 2007年1月16日 | BEA07-134.00 | SSLライブラリの未認可の情報開示についての脆弱性 | 勧告 | 低 | 中 | WLS8.1(-SP5)
WLS7.0(-SP7) WLS6.1(-SP7) |
|
| 2007年1月16日 | BEA07-125.01 | 内部のネットワーク情報が外部に漏洩する | 勧告 | 低 | 低 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2007年1月16日 | BEA07-107.02 | 何度も不正なログインの試行が許可される | 勧告 | 高 | 中 | WLS8.1(-SP5)
WLS7.0(-SP6) |
|
| 2007年1月16日 | BEA07-75.01 | Monitorセキュリティロールを付与されたユーザによるJDBC接続プールへのアクセス | 勧告 | 低 | 中 | WLS8.1 SP2, SP3, SP4 | |
| 2007年1月16日 | BEA07-60.01 | ユーザ認可を保護するためのパッチの提供 | 勧告 | 低 | 中 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2006年5月15日 | BEA06-133.00 | 機密な内部システムデータが漏洩する可能性 | 勧告 | 中 | 高 | WLS8.1(-SP4) | |
| 2006年5月15日 | BEA06-132.00 | トランザクション調整時の誤ったサービス品質(Quality of Service) | 勧告 | 中 | 低 | WLS8.1(-SP3) | |
| 2006年5月15日 | BEA06-131.00 | 管理者パスワードを回復するとパスワードがディスクに平文で保存される | 勧告 | 低 | 高 | WLS8.1 | |
| 2006年5月15日 | BEA06-130.00 | JSP showcode脆弱性 | 勧告 | 低 | 低 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2006年5月15日 | BEA06-129.00 | ConsoleにWebLogic ServerのIPアドレスが表示される | 勧告 | 中 | 低 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年5月15日 | BEA06-128.00 | Consoleのログイン フォームからドメイン名が漏洩する | 勧告 | 低 | 低 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2006年5月15日 | BEA06-127.00 | WebLogic Server HTTPハンドラがアクセス失敗時のusernameとpasswordをログに記録する | 勧告 | 低 | 低 | WLS9.0
WLS8.1(-SP5) WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年5月15日 | BEA06-126.00 | Consoleが誤ったJDBCポリシーを設定する | 勧告 | 低 | 低 | WLS9.0 | |
| 2006年5月15日 | BEA06-124.00 | WebLogic Serverにインストールされたアプリケーションがプライベートキーを取得する | 勧告 | 低 | 低 | WLS9.1
WLS9.0 WLS8.1(-SP5) WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年5月15日 | BEA06-121.00 | stopWebLogic.shスクリプトがUNIXプラットフォームのシステムパスワードをecho(画面表示)する | 勧告 | 低 | 高 | WLPL8.1(-SP2)
WLPL7.0(-SP5) |
|
| 2006年5月15日 | BEA06-120.01 | デフォルトの内部サーブレットがローカルファイルシステムへのアクセスを許可してしまう | 勧告 | 高 | 高 | WLS6.1(-SP7) | |
| 2006年5月15日 | BEA06-114.01 | サーバにインストールされたアプリケーションコードによってパスワードが解読される | 勧告 | 低 | 高 | WLS9.0
WLS8.1(-SP4) |
|
| 2006年5月15日 | BEA06-81.02 | 組み込みLDAPサーバへのAnonymous bindが許可される | 勧告 | 高 | 高 | WLS9.0
WLS8.1(-SP5) WLS7.0(-SP6) |
|
| 2006年3月20日 | BEA06-123.00 | 特定のXMLドキュメントが"server out of memory"エラーを引き起こす | 勧告 | 高 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年3月20日 | BEA06-122.00 | JSR-168ポートレットが認証されないユーザに表示される | 勧告 | 高 | 中 | WLP8.1(-SP5) | |
| 2006年3月20日 | BEA06-111.01 | リモートからサーバログが閲覧される | 勧告 | 高 | 低 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年3月20日 | BEA06-105.01 | 特定のHTTPリクエストがサーバへのHTTP Request Smuggling攻撃に使用される | 勧告 | 中 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年1月23日 | BEA06-119.00 | Consoleが誤ったJNDIポリシーを適用する | 勧告 | 中 | 中 | WLS9.0 | |
| 2006年1月23日 | BEA06-118.00 | サーバのSSL IDがアプリケーションから適切に保護されない | 勧告 | 低 | 中 | WLS8.1 SP5 | |
| 2006年1月23日 | BEA06-117.00 | 接続フィルタがサーバスローダウンを引き起こす | 勧告 | 中 | 高 | WLS9.0
WLS8.1(-SP5) WLS7.0(-SP6) |
|
| 2006年1月23日 | BEA06-116.00 | 有効でないセキュリティプロバイダが有効に見える | 勧告 | 低 | 低 | WLS9.0 | |
| 2006年1月23日 | BEA06-115.00 | 特定のリソースのみへのアクセスを強制するためのパッチの提供 | 勧告 | 高 | 高 | WLP8.1 SP3, SP4, SP5 | |
| 2006年1月23日 | BEA06-113.00 | 変更したパスワードが監査ログに表示される | 勧告 | 中 | 高 | WLS8.1(-SP4) | |
| 2006年1月23日 | BEA06-112.00 | アプリケーションのデプロイメント記述子のソースが表示される | 勧告 | 高 | 中 | WLP8.1(-SP4) | |
| 2006年1月23日 | BEA06-109.00 | MBeanの複数の脆弱性 | 勧告 | 高 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2006年1月23日 | BEA06-108.00 | 1インスタンスのWebLogic Server Administration Consoleによる複数ドメインのセキュリティ対策の管理のドキュメントの提供 | 勧告 | 低 | 高 | WLS7.0
WLS6.1 |
|
| 2006年1月23日 | BEA06-106.01 | 相対的フォワードをおこなうサーブレットへのリクエストがサービス拒否(DoS)攻撃につながる | 勧告 | 高 | 中 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2005年10月10日 | BEA05-104.00 | MBeanのコンフィグレーション変更の監査が停止する | 勧告 | 低 | 中 | WLS8.1(-SP4) | |
| 2005年10月10日 | BEA05-103.00 | マルチキャストデータが暗号化されない | 勧告 | 中 | 中 | WLS8.1(-SP4)
WLS7.0(-SP5) |
|
| 2005年10月10日 | BEA05-102.00 | 特定の環境でweblogic.Deployerの管理サーバに対する通信が漏洩する | 勧告 | 中 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2005年10月10日 | BEA05-101.00 | 複数の管理者アカウントを推奨するドキュメントの更新 | 勧告 | 高 | 中 | WLS9.0
WLS8.1 WLS7.0 |
|
| 2005年10月10日 | BEA05-100.00 | IIOPプロトコルのSubject情報からパスワードが漏洩する | 勧告 | 低 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2005年10月10日 | BEA05-99.00 | サーバを起動するパスワードがWindowsレジストリにクリアテキストで表示される | 勧告 | 低 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2005年10月10日 | BEA05-98.00 | サーバログに機密のシステムプロパティの値が表示される | 勧告 | 低 | 高 | WLS8.1(-SP4)
WLS7.0(-SP5) WLS6.1(-SP7) |
|
| 2005年10月10日 | BEA05-97.00 | Administration ConsoleのfullyDelegateAuthorizationモードでサーブレットリソースが完全に保護されない | 勧告 | 低 | 中 | WLS8.1(-SP3)
WLS7.0(-SP5) |
|
| 2005年10月10日 | BEA05-96.00 | コンフィグレーションウィザードを使用してWebLogic Serverドメインを作成する際、SSLの設定のプライベートキーのパスフレーズがクリアテキストで表示される | 勧告 | 低 | 中 | WLS8.1(-SP3) | |
| 2005年10月10日 | BEA05-95.00 | セキュリティポリシーをエクスポートし異なるOS上にインポートするとサーブレットが保護されない | 勧告 | 低 | 中 | WLS8.1
WLS7.0 |
|
| 2005年10月10日 | BEA05-94.00 | ローカルファイルシステムがAdminセキュリティロールのリモートユーザによってアクセスされる | 勧告 | 中 | 中 | WLS8.1(-SP3) | |
| 2005年10月10日 | BEA05-93.00 | サーブレットのセキュリティ制約が適切にルートを保護することができない | 勧告 | 高 | 中 | WLS8.1(-SP3)
WLS7.0(-SP5) |
|
| 2005年10月10日 | BEA05-92.00 | カスタムプリンシパルクラスのプリンシパルが充分に検証されない | 勧告 | 低 | 高 | WLS8.1(-SP4)
WLS7.0(-SP5) |
|
| 2005年10月10日 | BEA05-91.00 | 信頼キーストアのパスフレーズがnodemanager.configファイルにクリアテキストで表示される | 勧告 | 低 | 中 | WLS8.1(-SP3) | |
| 2005年10月10日 | BEA05-90.00 | ファイアウォールの内側のマシン情報へのユーザのアクセスを防ぐためのパッチの提供 | 勧告 | 中 | 低 | WLS8.1(-SP3) | |
| 2005年10月10日 | BEA05-89.00 | 監査イベントが誤った重大度でポストされる | 勧告 | 低 | 中 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2005年10月10日 | BEA05-88.00 | デプロイ済みアプリケーションの特権がDeployerからAdminに変更される | 勧告 | 低 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) |
|
| 2005年10月10日 | BEA05-86.00 | 特定の環境でクライアント/サーバ間の通信が期待通りにSSLによっておこなわれない | 勧告 | 中 | 高 | WLS8.1(-SP4)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2005年10月10日 | BEA05-85.00 | ユーザを指定しないクライアント/サーバ間の通信がSSLによって正しく保護されない | 勧告 | 中 | 高 | WLS8.1(-SP3)
WLS7.0(-SP6) WLS6.1(-SP7) |
|
| 2005年8月22日 | BEA05-84.00 | アクセス制限を強化するためのパッチの提供 | 勧告 | 高 | 高 | WLP 8.1(-SP4) | |
| 2005年8月15日 | BEA05-83.00 | JCE 1.2.1証明書の2005年7月27日期限切れ | 通知 | WLS 7.0
WLPL 7.0 |
|||
| 2005年8月15日 | BEA05-61.01 | サービス拒否(DoS)攻撃を防御するためのパッ チの提供 | 勧告 | 高 | 高 | WLS 8.1 (-SP2)
SP4 |
|
| 2005年5月24日 | BEA05-82.00 | サービス拒否(DoS)攻撃 | 勧告 | 高 | 高 | WLS 6.1 SP4 | |
| 2005年5月24日 | BEA05-79.00 | 不正なクッキーデータがクラスタのパフォーマンスに影響を与える | 勧告 | 高 | 高 | WLS 7.0 (-SP5) | |
| 2005年5月24日 | BEA05-78.00 | ログインに失敗した誤ったパスワードが標準出力に表示される | 勧告 | 低 | 中 | WLP 8.1 (-SP3) | |
| 2005年5月24日 | BEA05-77.00 | Webアプリケーションの再デプロイ時にユーザがログアウトされない | 勧告 | 低 | 中 | WLS 7.0 (-SP5) | |
| 2005年5月24日 | BEA05-76.00 | WebLogic Serverがセキュリティプロバイダによって生成される例外を監査して正しく取り扱うことができない | 勧告 | 中 | 高 | WLS 8.1 (-SP3)
WLS 7.0 (-SP5) |
|
| 2005年5月24日 | BEA05-74.01 | ログインが失敗した原因をログイン例外から特定される | 勧告 | 高 | 高 | WLS 8.1 (-SP4)
WLS 7.0 (-SP6) |
|
| 2005年5月24日 | BEA05-72.01 | Active Directory LDAPサーバ内のユーザを無効にするためのアップグレードおよびパッチの提供 | 勧告 | 中 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) |
|
| 2005年5月24日 | BEA05-52.02 | 意図しないシステム管理者特権を防ぐためのパッチの提供 | 勧告 | 非常に低 | 中 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) |
|
| 2005年3月28日 | BEA05-51.01 | パスワード保護のためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) WLS 6.1 (-SP6) |
|
| 2004年9月13日 | BEA04-73.00 | 管理データを暗号化するためのサーバのコンフィグレーションに関するドキュメント更新 | 勧告 | 低 | 高 | WLS 8.1(全リリース)
WLS 7.0(全リリース) |
|
| 2004年9月13日 | BEA04-71.00 | セキュリティロールおよびポリシーの完全なデプロイメントを保証するためのアップグレードおよびパッチの提供 | 勧告 | 低 | 中 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) |
|
| 2004年9月13日 | BEA04-70.00 | サーバのバージョン情報を保護するためのパッチの提供 | 勧告 | 低 | 低 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) WLS 6.1 (-SP6) |
|
| 2004年9月13日 | BEA04-69.00 | パスワード保護のためのアップグレードおよびパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) WLS 6.1 (-SP6) |
|
| 2004年9月13日 | BEA04-68.00 | WebLogic Serverコマンドラインユーティリティおよび管理用Antタスクを使用するスクリプト内のパスワード保護のためのパッチの提供 | 通知 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) WLS 6.1 (-SP6) |
|||
| 2004年9月13日 | BEA04-67.00 | showcode脆弱性を防ぐためのアップグレードおよびパッチの提供 | 勧告 | 低 | 低 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) WLS 6.1 (-SP6) |
|
| 2004年9月13日 | BEA04-66.00 | 管理者コマンドへの未認可アクセスを防ぐためのパッチの提供 | 勧告 | 中 | 中 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) |
|
| 2004年9月13日 | BEA04-65.00 | 未認可アクセスを防ぐためのパッチの提供 | 勧告 | 中 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) WLS 6.1 (-SP6) |
|
| 2004年6月28日 | BEA04_64.00 | Webアプリケーションを保護するためのパッチの提供 | 勧告 | 低 | 低 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) |
|
| 2004年6月28日 | BEA04_63.00 | 無許可のファイルアクセスおよびディスク容量の枯渇を防ぐためのパッチの提供 | 勧告 | 高 | 高 | WLPL 8.1 (-SP2) | |
| 2004年6月14日 | BEA04_62.00 | 予期しないユーザIDを防ぐための修正の提供 | 勧告 | 低 | 低 | WLS 8.1(全リリース)
WLS 7.0(全リリース) WLS 6.1 (全リリース) |
|
| 2004年5月11日 | BEA04_59.00 | Webアプリケーションへの意図しないアクセスを防ぐためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP5) |
|
| 2004年4月20日 | BEA04_58.00 | パスワード保護のためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2) | |
| 2004年4月20日 | BEA04_57.00 | 必要なパーミッションなしにEJBオブジェクトが削除されるのを防ぐためのアップグレードおよびパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) WLS 6.1 (-SP6) |
|
| 2004年4月20日 | BEA04_56.00 | サーブレットのセキュリティエラーを修正するためのアップグレード | 勧告 | 低 | 高 | WLS 8.1 (-SP1)
WLS 7.0 (-SP4) |
|
| 2004年4月13日 | BEA04_55.00 | パスワード漏洩を防御するためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) |
|
| 2004年4月13日 | BEA04_54.00 | ユーザへの成りすましを防ぐためのパッチの提供 | 勧告 | 中 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) |
|
| 2004年4月13日 | BEA04_53.00 | パスワード漏洩を防御するためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) WLS 6.1 (-SP6) |
|
| 2004年3月10日 | BEA04_43.01 | MBeanの漏洩を防御するための対策 | 勧告 | 低 | 低 | WLS 8.1(全リリース)
WLS 7.0 WLS 6.1 (全リリース) |
|
| 2004年1月26日 | BEA04_50.00 | パスワード保護のためのアップグレード | 勧告 | 低 | 高 | WLS 8.1 (-SP1) | |
| 2004年1月26日 | BEA04_49.00 | 管理者権限を保護するためのアップグレード | 勧告 | 低 | 高 | WLS 8.1 (-SP1) | |
| 2004年2月19日 | BEA04_48.01 | ユーザアカウントを危険から守るためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1 (-SP2)
WLS 7.0 (-SP4) WLS 6.1 (-SP6) WLS 5.1 (-SP13) |
|
| 2004年1月26日 | BEA04_47.00 | SSL証明書の再利用を防ぐためのパッチの提供およびアップグレード | 勧告 | 低 | 中 | WLS 7.0 (-SP4) | |
| 2004年1月12日 | BEA04-46.00 | パスワード保護のためのアップグレード | 勧告 | 低 | 高 | WLS 8.1 (-SP1) | |
| 2004年1月12日 | BEA04-45.00 | サービス拒否を防止するために推奨するアップグレード | 勧告 | 高 | 高 | WLS 7.0 (-SP4)
WLS 6.1 (-SP5) WLS 5.1 (-SP13) |
|
| 2003年12月30日 | BEA03-44.00 | CA証明書の期限切れ | 通知 | WLS | |||
| 2003年11月11日 | BEA03-42.00 | ノードマネージャを保護するためのパッチの提供 | 勧告 | 低 | 低 | WLS 8.1 (-SP1)
WLS 7.0 (-SP4) WLS 6.1 (-SP5) |
|
| 2003年11月11日 | BEA03-41.00 | パスワード保護のためのパッチの提供 | 勧告 | 低 | 低 | WLS 8.1 (-SP1) | |
| 2003年11月11日 | BEA03-40.00 | 暗号化されていない接続が偶然に使用されるのを防ぐためのパッチの提供 | 勧告 | 低 | 低 | WLS 8.1 (-SP1)
WLS 7.0 (-SP4) |
|
| 2003年11月11日 | BEA03-39.00 | サービス拒否攻撃を防御するための修正 | 勧告 | 高 | 高 | WLS 8.1 (-SP1)
WLS 7.0 (-SP4) WLS 6.1 (-SP5) |
|
| 2003年10月29日 | BEA03-38.00 | BEA Tuxedo管理コンソールの脆弱性を保護するためのパッチの提供 | 勧告 | 低 | 中 | Tuxedo 8.1
Tuxedo 8.0 Tuxedo 7.1 Tuxedo 6.5 Tuxedo 6.4 Tuxedo 6.3 WebLogic Enterprise 5.1 WebLogic Enterprise 5.0.1 WebLogic Enterprise 4.2 |
|
| 2003年8月27日 | BEA03-37.00 | Webブラウザを通してマシンのファイルシステムに非意図的なアクセスが行われるのを防ぐためのパッチの提供 | 勧告 | 中 | 高 | WLI-BC 8.1 | |
| 2003年8月20日 | BEA03-14.06 | DOS攻撃に対するパッチの提供 | 勧告 | 低 | 高 | WLS 7.0 (-SP1)
WLS 6.1 (-SP3) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP12) |
|
| 2003年8月20日 | BEA03-36.01 | クロスサイトスクリプティング(XSS)に対する複数の脆弱性を保護するためのパッチの提供 | 勧告 | 低 | 高 | WLI 7.0 (-SP2)
WLI 2.1 LD 1.1 WLS 7.0 (-SP3) WLS 6.1 (-SP5) WLS 5.1 |
|
| 2003年7月30日 | BEA03-35.00 | 現在のユーザIDを保護するためのパッチの提供 | 勧告 | 中 | 高 | WLS 7.0 SP3 | |
| 2003年7月8日 | BEA03-34.00 | パスワード保護のためのパッチの提供 | 勧告 | 低 | 低 | WLS 7.0 (-SP2)
WLS 6.1 (-SP5) |
|
| 2003年7月8日 | BEA03-33.00 | オペレータによる管理アクセスを防ぐためのパッチの提供 | 勧告 | 低 | 高 | WLS 8.1
WLS 7.0 (-SP2) |
|
| 2003年7月8日 | BEA03-32.00 | コンソールに対する非認可アクセスを防ぐためのパッチの提供 | 勧告 | 低 | 低 | WLS 7.0 (-SP2) | |
| 2003年7月8日 | BEA03-28.01 | 非特権アカウントがアプリケーションリソースにアクセスするのを防ぐためのパッチの提供 | 勧告 | 中 | 高 | WLS 8.1
WLS 7.0 (-SP2) WLS 6.1 (-SP4) WLS 6.0 (-SP2RP3) |
|
| 2003年5月12日 | BEA03-31.00 | 無効なSSL証明書チェーンの脆弱性を保護するためのパッチの提供 | 勧告 | 中 | 高 | WLS 7.0 (-SP1)
WLS 6.1 (-SP4) WLS 5.1 (-SP13) WLE 5.1 WLE 5.0.1 Tuxedo 8.1 Tuxedo 8.0 |
|
| 2003年5月12日 | BEA03-30.00 | クリアテキストのパスワードを防ぐためのパッチの提供 | 勧告 | 低 | 中 | WLS 7.0 (-SP2) | |
| 2003年3月17日 | BEA03-29.00 | サブコンテキストの削除を防ぐための修正 | 勧告 | 低 | 低 | WLS 7.0(-SP1) | |
| 2003年3月17日 | BEA03-27.00 | 再認証を受けないWebアプリケーションへのアクセスを防ぐための修正 | 勧告 | 低 | 低 | WLS 7.0 (-SP2) | |
| 2003年3月17日 | BEA03-26.01 | セッション共有を防ぐためのパッチ(修正、対処策...)の提供 | 勧告 | 低 | 高 | WLS 7.0 (-SP2)
WLS 6.1 (-SP4) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP13) |
|
| 2003年1月28日 | BEA03-30.00 | クリアテキストのパスワードを防ぐためのパッチの提供 | 勧告 | 低 | 中 | WLS 7.0 (-SP2) | |
| 2003年1月10日 | BEA03-24.00 | パスワード保護のためのパッチの提供 | 勧告 | 低 | 低 | WLS 7.0 (-SP1)
WLS 6.1 (-SP3) |
|
| 2002年12月13日 | BEA02-23.01 | XMLパーシングを通じたDoS攻撃を防御するためのパッチの提供 | 勧告 | 低 | 低 | WLI 7.0 (-SP1)
WLI 2.1 WLS 7.0 (-SP1) WLS 6.1 (-SP4) WLS 6.0 (-SP2RP3) |
|
| 2002年10月15日 | BEA02-22.00 | WebLogic Integration 7.0またはWebLogic Server 7.0サービスパック1でポリシーロールとマッピングが無視されるのを防ぐためのパッチの提供 | 勧告 | 高 | 高 | WLS 7.0 (-SP1) | |
| 2002年10月1日 | BEA02-21.00 | 不注意によってサーブレットまたはEJBのセキュリティが無効化されることを防ぐためのアップグレード | 勧告 | 低 | 高 | WLS 7.0 | |
| 2002年9月27日 | BEA02-20.00 | データ共有を防ぐためのアップグレード | 勧告 | 低 | 中 | WLS 7.0
WLS 6.1 (-SP2) |
|
| 2002年7月3日 | BEA02-19.00 | DoS攻撃を防御するためのパッチの提供 | 勧告 | WLS 7.0
WLS 6.1 (-SP3) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP12) |
|||
| 2002年5月10日 | BEA02-18.00 | SNMPエージェントを利用したパスワード漏洩を防御するためのパッチの提供 | 勧告 | 低 | WLS 5.1 (-SP12) | ||
| 2002年5月9日 | BEA02-17.00 | ファイル内容の表示を防ぐためのパッチの提供 | 勧告 | WLS 6.1 -SP2)
WLS 6.0 (-SP2RP3) WLS 5.1 (-SP12) WLS 4.5.2 (-SP2) WLS 4.5.1 (-SP15) |
|||
| 2002年4月22日 | BEA02-03.03 | コードが表示される脆弱性に対するパッチの提供 | 勧告 | WLS 6.1 (-SP2)
WLS 6.0 (-SP2RP3) WLS 5.1 (-SP11) WLS 4.5.2 (-SP2) WLS 4.5.1 (-SP14) |
|||
| 2002年4月22日 | BEA02-16.01 | SNMP実装の脆弱性に対するパッチの提供 | 勧告 | WLS 6.1 (-SP2)
WLS 5.1 (-SP11) |
|||
| 2002年1月31日 | BEA02-15.00 | パスワード保護のためのパッチの提供 | 勧告 | 低 | WLS 6.1 (-SP2) | ||
| 2002年1月10日 | BEA02-13.00 | 意図しないパーミッション付与を防ぐためのパッチの提供 | 勧告 | WLS 6.1 (-SP1)
WLS 6.0 (-SP2) WLS 5.1 (-SP10) WLS 4.5.2 (-SP2) WLS 4.5.1 (-SP15) |
|||
| 2001年11月9日 | BEA01-12.01 | BEA WebLogic ServerおよびWebLogic Express用のCSR Generatorサーブレットに関するドキュメントの更新 | 勧告 | WLS 6.1(全リリース)
WLS 5.1 (全リリース) WLS 4.5.2(全リリース) WLS 4.5.1(全リリース) |
|||
| 2001年6月22日 | BEA01-11.00 | 管理コンフィグレーションの脆弱性に対する修正の提供 | 勧告 | WLS 6.0 (-SP1) | |||
| 2001年5月9日 | BEA01-10.00 | BEA TuxedoにおけるTDomainゲートウェイ脆弱性に対するパッチの提供 | 勧告 | 中 | Tuxedo 6.3
Tuxedo 6.4 Tuxedo 6.5 Tuxedo 6.5.1 Tuxedo 7.1 Tuxedo 7.1.1 WLE 4.2 WLE 5.0 WLE 5.1 |
||
| 2001年3月27日 | BEA00-09.00 | ディレクトリインデックス作成のデフォルト設定に使用できるパッチの提供 | 勧告 | 低 | WLS 6.0 | ||
| 2001年3月19日 | BEA00-08.00 | BEA Tuxedoにおけるアクセス制御の脆弱性に使用できるパッチの提供 | 勧告 | 中 | Tuxedo 7.1 | ||
| 2000年8月14日 | BEA00-05.01 | WLSプロキシプラグインにおけるバッファオーバーフローに対するパッチの提供 | 勧告 | 低 | WLS 5.1(-SP4)
WLS 4.5.2 WLS 4.5.1(-SP10) |
||
| 2000年7月31日 | BEA00-04.00 | Web文書ルートディレクトリにおける任意のファイルのコンパイルと実行 | 勧告 | WLS 5.1(全リリース) | |||
| 2000年6月12日 | BEA00-01.00 | デフォルトのhttpd.servletコンフィグレーションにおける脆弱性(WindowsおよびNTのみ) | 勧告 | WLS 4.5.1(全リリース)
WLS 4.0.4(全リリース) WLS 3.1.8(全リリース) |
|||
| 2000年6月12日 | BEA00-02.00 | デフォルトファイルのサーブレットコンフィグレーションにおける脆弱性 | 勧告 | WLS 5.1(全リリース)
WLS 4.5.2(全リリース) WLS 4.5.1(全リリース) WLS 4.0.4(全リリース) WLS 3.1.8(全リリース) |
* 脅威:攻撃が開始される可能性のある所在地: 「高」は脆弱性がリモートで悪用されることを示します。「低」はローカルアクセスが必要な脆弱性を示します。
** 重大度:潜在的な影響の範囲: 「高」は製品の完全性/可用性/機密性が深刻な危険にさらされる可能性を示します。「低」は製品の完全性/可用性/機密性への影響の重要性が低いことを示します。
*** CVSS評価:Common Vulnerability Scoring System (CVSS)は、IT脆弱性に対するオープンで汎用的な評価手法を提供するために設計された脆弱性評価システムです。
**** この列では、WLPLはWebLogic Platform、WLSはWebLogic ServerおよびWebLogic Express、WLIはWebLogic Integration、WLEはWebLogic Enterprise、LDはLiquid Dataをそれぞれ表します。
脆弱性が存在する特定のサービスパックを示す場合、WLS 6.1(-SP2)は、WebLogic ServerおよびWebLogic Express 6.1の初期リリースとサービスパック1および2を意味します。WLS 6.1は、WebLogic ServerおよびWebLogic Expressの初期リリースのみを意味します。WLS 6.1(全リリース)は、WebLogic ServerおよびWebLogic Express 6.1のすべてのバージョンを意味します。
Printer View