Oracle Fusion Middlewareに見つかった「2つの重大な脆弱性」とは何だったのか：Oracleの脆弱性修正の遅れに批判の声【前編】

Oracleの製品群「Oracle Fusion Middleware」に見つかった「CVE-2022-21445」と「CVE-2022-21497」は、どのような脆弱性だったのか。ユーザー企業はどのような危険性にさらされていたのか。

[Arielle Waldman，TechTarget]

　Oracleがミドルウェア製品群「Oracle Fusion Middleware」の重大な脆弱（ぜいじゃく）性「CVE-2022-21445」と「CVE-2022-21497」。セキュリティ専門家はこの2つの脆弱性の開示や修正について、Oracleの姿勢を批判している。

　「Peterjson」を名乗る人物は2022年6月、自身のブログで2つの脆弱性を巡るOracleの動きを取り上げた。米TechTargetの取材によると、同氏はベトナムのITベンダーVNGでセキュリティエンジニアを務める。修正の遅さに疑問を呈するとともに、Oracle Fusion Middlewareのユーザー企業に対して早急にパッチ（修正プログラム）を適用するよう促した。

Oracle Fusion Middlewareの2つの脆弱性は何が危険なのか

併せて読みたいお薦め記事

Oracleを巡る最近の動き

• “ハンズフリー電子カルテ”がOracleによるCerner買収で実現か？
• 従業員エンゲージメント向けの「Oracle ME」　人材を定着させる機能とは？

　ブログによるとPeterjson氏と、同氏の共同研究者であり「Jang」を名乗る人物は、Oracle Fusion Middlewareのコンポーネントである「Application Development Framework（ADF）Faces」のソースコードを評価しているとき、今回の2つの脆弱性を発見した。2つの脆弱性は標的のシステムに対して任意のプログラムの実行を可能にする。

　攻撃者は2つの脆弱性を悪用すれば、認証の仕組みを避け、HTTPリクエストを使用してWebサービス管理ツール「Oracle Web Services Manager」と統合開発環境「Oracle JDeveloper」を侵害できるようになる。米国立標準技術研究所（NIST）の脆弱性情報データベース「National Vulnerability Database」（NVD）によると、2つの脆弱性は「簡単に悪用可能」だ。

　2つの脆弱性による攻撃のリスクにさらされているのは、ADF Facesを使用している全てのWebサイトであり、「影響が広範囲に及びかねない」とPeterjson氏は指摘する。クラウドサービスも「対象外ではない」と同氏は言う。

---

　Peterjson氏の説明によると、同氏とJang氏は、Oracleに危険性を示すために、2つの脆弱性を使ってOracleのシステムを攻撃した。攻撃の「実演」によって、Oracleに早急の修正を促す狙いがあったいう。だが「なぜか、修正完了まで6カ月もかかった。理解に苦しむ」とPeterjson氏はブログに記した。

　後編は、脆弱性の報告から修正完了までのタイムラインを追う。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。