Oracle geeft waarschuwing over gevaarlijke WebLogic-fout

Oracle is bezig met het maken van een noodflap voor een ernstige kwetsbaarheid in de WebLogic-server van het bedrijf, omdat exploitcode op het web circuleert.

Het bedrijf heeft dinsdag een zeldzame beveiligingswaarschuwing uitgegeven, de eerste waarschuwing wegens uitgestelde planning omdat introduceerde een reguliere patch release-cyclus meer dan drie jaar geleden.

Het probleem ligt in de Apache-plug-in voor de Oracle WebLogic Server en Express-producten (voorheen bekend als BEA WebLogic), beide applicatieservers.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Het beveiligingslek kan worden misbruikt via een netwerk zonder een gebruikersnaam of wachtwoord nodig te hebben, schreef Eric Maurice van Oracle, in een advies.

De fout kan leiden tot "compromitteren" de vertrouwelijkheid, integriteit en beschikbaarheid van het gerichte systeem ", schreef Maurice. Het probleem scoort een 10.0, de meest serieuze beoordeling, op de CVSS-schaal (Common Vulnerability Scoring System), een raamwerk dat wordt gebruikt om de risico's van een bepaalde fout te evalueren.

Oracle heeft beheerders geadviseerd om een ​​tijdelijke oplossing te implementeren terwijl het werkt aan het maken van een patch.

"We verwachten dat deze oplossing binnenkort beschikbaar is en we zullen een bijgewerkte beveiligingswaarschuwing uitbrengen om klanten te informeren over de beschikbaarheid," schreef Maurice.

De persoon die de exploit-code publiceerde, waarschuwde niet Oracle van tevoren, schreef Maurice. De exploit-code is vrijgegeven na 15 juli, de laatste keer dat Oracle patches heeft uitgegeven.

Het vrijgeven of gebruiken van exploit-code net nadat patches zijn uitgegeven, is een tactiek die vaak wordt toegepast tegen andere bedrijven zoals Microsoft, die op de tweede dinsdag van elke patch worden gebruikt maand. Hackers proberen de hoeveelheid tijd te maximaliseren die ze kunnen gebruiken om een ​​fout te herstellen voordat een bedrijf opnieuw patches afgeeft.