Oracle Fusion Middlewareに見つかった「2つの重大な脆弱性」とは何だったのかOracleの脆弱性修正の遅れに批判の声【前編】

Oracleの製品群「Oracle Fusion Middleware」に見つかった「CVE-2022-21445」と「CVE-2022-21497」は、どのような脆弱性だったのか。ユーザー企業はどのような危険性にさらされていたのか。

2022年07月20日 05時00分 公開
[Arielle WaldmanTechTarget]

 Oracleがミドルウェア製品群「Oracle Fusion Middleware」の重大な脆弱(ぜいじゃく)性「CVE-2022-21445」と「CVE-2022-21497」。セキュリティ専門家はこの2つの脆弱性の開示や修正について、Oracleの姿勢を批判している。

 「Peterjson」を名乗る人物は2022年6月、自身のブログで2つの脆弱性を巡るOracleの動きを取り上げた。米TechTargetの取材によると、同氏はベトナムのITベンダーVNGでセキュリティエンジニアを務める。修正の遅さに疑問を呈するとともに、Oracle Fusion Middlewareのユーザー企業に対して早急にパッチ(修正プログラム)を適用するよう促した。

Oracle Fusion Middlewareの2つの脆弱性は何が危険なのか

 ブログによるとPeterjson氏と、同氏の共同研究者であり「Jang」を名乗る人物は、Oracle Fusion Middlewareのコンポーネントである「Application Development Framework(ADF)Faces」のソースコードを評価しているとき、今回の2つの脆弱性を発見した。2つの脆弱性は標的のシステムに対して任意のプログラムの実行を可能にする。

 攻撃者は2つの脆弱性を悪用すれば、認証の仕組みを避け、HTTPリクエストを使用してWebサービス管理ツール「Oracle Web Services Manager」と統合開発環境「Oracle JDeveloper」を侵害できるようになる。米国立標準技術研究所(NIST)の脆弱性情報データベース「National Vulnerability Database」(NVD)によると、2つの脆弱性は「簡単に悪用可能」だ。

 2つの脆弱性による攻撃のリスクにさらされているのは、ADF Facesを使用している全てのWebサイトであり、「影響が広範囲に及びかねない」とPeterjson氏は指摘する。クラウドサービスも「対象外ではない」と同氏は言う。


 Peterjson氏の説明によると、同氏とJang氏は、Oracleに危険性を示すために、2つの脆弱性を使ってOracleのシステムを攻撃した。攻撃の「実演」によって、Oracleに早急の修正を促す狙いがあったいう。だが「なぜか、修正完了まで6カ月もかかった。理解に苦しむ」とPeterjson氏はブログに記した。

 後編は、脆弱性の報告から修正完了までのタイムラインを追う。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news045.jpg

「現金で買い物」は少数派? 意外なポイントの使い道は? 調査で見えたお金への意識の変化
メットライフ生命保険が「全国47都道府県大調査 2024〜社会情勢の変化と将来への備え〜...

news100.png

どこどこJPに「匿名ネットワークアクセスレポート」が追加
Geolocation Technologyは、「どこどこJP」に新機能「匿名ネットワークアクセスレポート...

news093.jpg

先進ブランドは「AR」や「MR」をどう使っているのか(無料eBook)
リアルとバーチャルを融合した空間を創造する先端技術をマーケティング施策に取り入れる...