事前対応型の保護機能 SmartDefense により、Oracle WebLogic Server の Apache 用プラグインに発見されたパッチ未公開の脆弱性からネットワークを保護

ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社（本社：東京都新宿区、代表：代表取締役社長　杉山隆弘）は本日、VPN-1® R65、R62、R61、および R60、VSX® NGX R65、InterSpect® NGX、Connectra® NGX R62 および R61 をご使用のお客様は、新たに公表された Oracle 社（旧 BEA Sytems, Inc.） の Oracle BEA WebLogic Server Apache コネクタのパッチ未公開の脆弱性（CVE-2008-3257）はすでに保護されており、IPS-1 をご使用のお客様も SmartDefense の最新アップデートをダウンロードすることでこの脆弱性から確実に保護されることを発表しました。攻撃者がこの脆弱性を悪用すると、WebLogic Server 上で任意のコードを実行される恐れがありますが、上記弊社製品をご利用で、SmartDefense サービスのサブスクリプション契約を締結しているお客様と、IPS-1をご使用のお客様はこの脆弱性から保護されます。

Oracle が7月28日に発表したこの脆弱性は、Oracle BEA WebLogic Servers に影響します（脆弱性の影響を受ける全製品の一覧については
www.oracle.com/technology/deploy/security/alerts/alert_cve2008-3257.html をご覧ください）。
Apache コネクタに境界エラーがあるため、攻撃者が特別な細工を施した HTTP リクエストを WebLogic アプリケーション・サーバの手前にある Apache Web サーバに対して送信することでリモートからこの脆弱性を悪用することができます。これにより、スタック・ベースのバッファ・オーバーフローが発生したり、脆弱なシステム上で任意のコードを実行されたりする恐れがあります。チェック・ポイントでは2004年以降、VPN-1 Power VSX、InterSpect、および Connectra セキュリティ・ゲートウェイに、このような脅威に対処するための機能を搭載してきました。

チェック・ポイントのネットワーク・セキュリティ・プロダクト担当バイス・プレジデントであるオーデッド・ゴンダ（Oded Gonda）は、「ゼロデイ攻撃の脅威からサーバを保護するために回避策を実施するのは面倒な作業です。そのためにサーバの再起動が必要になるとすればなおさらです。チェック・ポイントの SmartDefense サービスと単一の管理コンソールを利用することで、ダウンタイムを最小限に抑えつつ、最新の脅威に対する保護を迅速に実施できます」と述べています。

チェック・ポイントでは、Oracle BEA WebLogic Server の Apache コネクタの脆弱性に関する SmartDefense アドバイザリと IPS-1 アップデートの提供を開始しました。 このアドバイザリと IPS-1 アップデートについては、 www.checkpoint.com/defense/advisories/protected/2008/cpai-03-Aug.html をご覧ください。このページには、脅威に関する追加情報も含まれており、SmartDefense および IPS-1 の保護機能を適切に構成して脅威に対処する手順についても詳しく説明されています。

SmartDefense は、チェック・ポイントのゲートウェイ製品に統合された侵入防御技術です。SmartDefense は、各種のアップデートや、防御機能およびセキュリティ・ポリシーの設定アドバイザリをリアルタイムかつ継続的に提供する SmartDefense サービスによって更新されます。SmartDefense の保護機能は、世界各地の SmartDefense リサーチ/レスポンス・センターが開発、提供しています。 SmartDefense の詳細については、 http://www.checkpoint.co.jp/defense/advisories/public/index.html をご覧ください。

Check Point Software Technologies Ltd. について
チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド（http://www.checkpoint.com/）は、インターネット・セキュリティにおけるトップ企業として、変化し続けるお客様のビジネス・ニーズに応じてカスタマイズ可能なトータル・セキュリティ・ソリューション群を提供しています。 統合されたゲートウェイ、単一エージェントによるエンドポイント、および単一の管理アーキテクチャで構成されるこのトータル・セキュリティ・ソリューション群の組み合わせは、企業向けファイアウォール、パーソナル・ファイアウォール/エンドポイント・セキュリティ、データ・セキュリティ、および VPN 市場におけるリーダーシップと技術革新に基づく独自性を備えています。
チェック・ポイントは、情報セキュリティの分野のみに注力するセキュリティの専業企業です。チェック・ポイントは、NGX プラットフォームを通じて、企業ネットワークおよびアプリケーション、リモート・ユーザ、支店・支社環境、およびパートナー各社のエクストラネットのビジネス通信およびリソースを保護する、統一されたセキュリティ・アーキテクチャを提供しています。 また、業界をリードするエンドポイント/データ・セキュリティ・ソリューションである Check Point Endpoint Security 製品ラインナップを通じ、PC やモバイル端末に保存されている各種企業データや重要なデータの暗号化と保護を提供します。 数々の受賞歴のあるチェック・ポイントの ZoneAlarm ソリューションは、世界中で何百万にも及ぶお客様の PC をハッカー、スパイウェア、および情報窃盗から未然に保護しています。 現在、チェック・ポイント・ソリューションは、世界中のパートナー・ネットワークを通じて販売、導入、サービス提供されています。 チェック・ポイントの顧客には、Fortune 100 社の全社と何万ものあらゆる規模の企業や組織が含まれています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置き、約30名の従業員を擁しています。