問題
Oracle社は、Oracle WebLogicに対して、Oracle WebLogic Server Web ServicesのXMLDecoderを介したデシリアライズの脆弱性が検出されたとして、セキュリティ警告を発表しました。 以下のリソースと情報はOracle's Tech Networkから入手したもので、Liferay環境にWebLogicプラットフォームを使用している購読者を対象としています。
CVE-2019-2729は、WebLogicサーバーがユーザー名とパスワードを必要とせず、ネットワーク経由で悪用されるリモートコード実行の脆弱性に言及しています。
アフェクツ
Oracle WebLogic Server(バージョン10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 )を使用している加入者。
解決策
Oracle's Tech Networkから提供されるパッチを入手し、適用することで、影響を受ける環境に脆弱性のパッチが適用されていることを確認します。 詳細については、CVE-2019-2729 の Oracle Security Alert ページ をご覧ください。
なお、本情報はLiferayサポートからの提供であることをご了承ください。 WebLogic サーバーに関する追加情報およびサポートについては、Oracle サポートにお問い合わせください。