Oracle Issues Warning Over Dangerous WebLogic Flaw

Oracle rikkoo luomalla hätäpisteen vakavalle haavoittuvuudelle yrityksen WebLogic-palvelimessa, koska hyödyntäjäkoodi kulkee verkossa.

Yritys julkaisi tiistaina harvinaisen tietoturvaviestinnän, joka oli ensimmäinen varotoimitus, koska se

Ongelma on Apache-plugin, joka on Oracle WebLogic Server- ja Express-tuotteiden (aiemmin tunnettu nimellä BEA WebLogic), molemmat sovelluspalvelimet.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Haavoittuvuutta voidaan hyödyntää verkossa ilman käyttäjätunnusta tai salasanaa, kirjoitti Oraclen Eric Maurice neuvonnassa.

Tämä virhe voi johtaa "vaaraan kohdennettujen järjestelmien luottamuksellisuus, eheys ja saatavuus ", Maurice kirjoitti. Ongelma on 10,0, vakavin luokitus CVSS-asteikolla (Common Vulnerability Scoring System), puute, jota käytetään jonkin tietyn virheen riskien arvioimiseen.

Oracle kehotti järjestelmänvalvojia toteuttamaan kiertotavan, kun se pyrkii luomaan laastari.

"Odotamme, että tämä korjaus on valmis pian ja julkaisemme päivitetyn tietoturvahälytyksen, jotta asiakkaamme saisivat tietää saatavuudestaan", Maurice kirjoitti.

Käyttäjä, joka julkaisi hyväksikäytön koodin, ei varoittanut Oracle etukäteen, Maurice kirjoitti. Hyötykoodi julkaistiin 15. heinäkuuta, kun Oracle julkaisi viimein korjaustiedostoja.

Hyödyntekoodin julkaiseminen tai käyttäminen juuri korjausten jälkeen on taktiikka, jota käytetään usein muita yrityksiä, kuten Microsoftia vastaan, jotka korjaavat joka toinen tiistai kuukausi. Hakkereita yritetään maksimoida aikaa, jolloin he voivat hyötyä virheestä ennen kuin yritys julkaisee korjaustiedostoja uudelleen.

Microsoft on kuitenkin tiedossa julkaista ulos syklien korjaustiedostoja erittäin vaarallisiksi virheiksi.