Предупреждение Oracle о опасной ошибке WebLogic

Oracle скремблирует создание аварийного патча для серьезной уязвимости на сервере WebLogic компании, поскольку код эксплойта распространяется в Интернете.

Компания выпустила редкое предупреждение о безопасности во вторник, первое внеплановое предупреждение, поскольку оно ввел плановый цикл выпуска исправлений более трех лет назад.

Проблема заключается в плагине Apache для продуктов Oracle WebLogic Server и Express (ранее известных как BEA WebLogic), обоих серверов приложений.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows »

Уязвимость может быть использована по сети без необходимости имени пользователя или пароля, написала Oracle Eric Maurice в консультативном совете.

Ошибка может привести к« компрометации » конфиденциальность, целостность и доступность целевой системы », - писал Морис. Проблема оценивает 10,0, самый серьезный рейтинг, по шкале CVSS (Common Vulnerability Scoring System), которая используется для оценки рисков, связанных с определенным недостатком.

Oracle рекомендовал администраторам реализовать обходной путь, пока он работает над созданием патч.

«Мы ожидаем, что это исправление будет готово очень скоро, и мы выпустим обновленное оповещение безопасности, чтобы сообщить клиентам о его доступности», - писал Морис.

Лицо, опубликовавшее код эксплойта, не предупредило Oracle заранее, писал Морис. Код эксплойта был выпущен после 15 июля, последний раз, когда Oracle выпустил исправления.

Освобождение или использование кода эксплойта сразу после выпуска патчей - это тактика, часто применяемая против других компаний, таких как Microsoft, которая исправляется во второй вторник каждого месяц. Хакеры пытаются максимизировать время, в течение которого они могут воспользоваться недостатком до того, как компания снова выпустит исправления.

Microsoft, как известно, выпускает исправления вне цикла для крайне опасных ошибок.