2022年07月20日 05時00分 公開
特集/連載

Oracle Fusion Middlewareに見つかった「2つの重大な脆弱性」とは何だったのかOracleの脆弱性修正の遅れに批判の声【前編】

Oracleの製品群「Oracle Fusion Middleware」に見つかった「CVE-2022-21445」と「CVE-2022-21497」は、どのような脆弱性だったのか。ユーザー企業はどのような危険性にさらされていたのか。

[Arielle Waldman,TechTarget]

 Oracleがミドルウェア製品群「Oracle Fusion Middleware」の重大な脆弱(ぜいじゃく)性「CVE-2022-21445」と「CVE-2022-21497」。セキュリティ専門家はこの2つの脆弱性の開示や修正について、Oracleの姿勢を批判している。

 「Peterjson」を名乗る人物は2022年6月、自身のブログで2つの脆弱性を巡るOracleの動きを取り上げた。米TechTargetの取材によると、同氏はベトナムのITベンダーVNGでセキュリティエンジニアを務める。修正の遅さに疑問を呈するとともに、Oracle Fusion Middlewareのユーザー企業に対して早急にパッチ(修正プログラム)を適用するよう促した。

Oracle Fusion Middlewareの2つの脆弱性は何が危険なのか

 ブログによるとPeterjson氏と、同氏の共同研究者であり「Jang」を名乗る人物は、Oracle Fusion Middlewareのコンポーネントである「Application Development Framework(ADF)Faces」のソースコードを評価しているとき、今回の2つの脆弱性を発見した。2つの脆弱性は標的のシステムに対して任意のプログラムの実行を可能にする。

 攻撃者は2つの脆弱性を悪用すれば、認証の仕組みを避け、HTTPリクエストを使用してWebサービス管理ツール「Oracle Web Services Manager」と統合開発環境「Oracle JDeveloper」を侵害できるようになる。米国立標準技術研究所(NIST)の脆弱性情報データベース「National Vulnerability Database」(NVD)によると、2つの脆弱性は「簡単に悪用可能」だ。

 2つの脆弱性による攻撃のリスクにさらされているのは、ADF Facesを使用している全てのWebサイトであり、「影響が広範囲に及びかねない」とPeterjson氏は指摘する。クラウドサービスも「対象外ではない」と同氏は言う。


 Peterjson氏の説明によると、同氏とJang氏は、Oracleに危険性を示すために、2つの脆弱性を使ってOracleのシステムを攻撃した。攻撃の「実演」によって、Oracleに早急の修正を促す狙いがあったいう。だが「なぜか、修正完了まで6カ月もかかった。理解に苦しむ」とPeterjson氏はブログに記した。

 後編は、脆弱性の報告から修正完了までのタイムラインを追う。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news122.jpg

「ペプシチャレンジ」で煽られて焦ったコカ・コーラの“痛恨のやらかし”とは?
長年の間「コーラ戦争」を続けてきたCoca-ColaとPepsi。マーケティング施策でも切磋琢磨...

news149.jpg

デジタル化する顧客体験に関する消費者と企業の認識ギャップ――ナイスジャパン調査
問い合わせの初動としてインターネットやFAQ検索をする人が約8割。デジタルチャネルによ...

news042.jpg

気象データは近未来のデータ 予測に基づき「役に立つ」広告を届ける
気象データを活用することでどのような広告コミュニケーションが可能になるのか。海外の...