Ostrzeżenie o zagrożeniach Oracle w związku z niebezpieczną wadą WebLogic

Oracle stara się stworzyć awaryjną łatę dla poważnej luki w zabezpieczeniach na serwerze WebLogic firmy, ponieważ kod exploitów krąży w Internecie.

Firma we wtorek wystawiła rzadki alert bezpieczeństwa, pierwsze ostrzeżenie przed czasem, ponieważ wprowadził regularnie zaplanowany cykl wydawania poprawek ponad trzy lata temu.

Problem leży w plugin Apache dla produktów Oracle WebLogic Server i Express (wcześniej znany jako BEA WebLogic), oba serwery aplikacji.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Luka może zostać wykorzystana w sieci bez potrzeby podawania nazwy użytkownika lub hasła, napisał w poradniku Eric Maurice z firmy Oracle.

Usterka może spowodować "kompromitację poufność, integralność i dostępność docelowego systemu "- napisał Maurice. Problem daje ocenę 10.0, najpoważniejszą ocenę w skali CVSS (Common Vulnerability Scoring System), ramy używane do oceny ryzyka związanego z daną wadą.

Oracle zalecił administratorom wdrożenie rozwiązania zastępczego podczas pracy nad tworzeniem łatka.

"Oczekujemy, że ta poprawka będzie wkrótce gotowa, a my wydamy zaktualizowany alert bezpieczeństwa, aby poinformować klientów o ich dostępności" - napisał Maurice.

Osoba, która opublikowała kod exploita, nie ostrzegła Oracle z góry, napisał Maurice. Kod exploita został wydany po 15 lipca, kiedy Oracle wydał poprawki.

Uwalnianie lub używanie kodu exploita tuż po wydaniu łat to taktyka często stosowana przeciwko innym firmom, takim jak Microsoft, które łatają w drugi wtorek każdego miesiąc. Hakerzy starają się zmaksymalizować czas, w którym mogą wykorzystać wadę, zanim firma ponownie wyda łatki.

Microsoft znany jest jednak z tego, że wydaje łatki poza cyklem dla wysoce niebezpiecznych wad.