Até o final da semana passada, especialistas de KnownSec chinês 404 empresa que está por trás de IOT-pesquisador desenvolvimento ZoomEye, descoberto questão perigosa no Oralce WebLogic.
Bug apresentou uma ameaça para todos os servidores Oracle WebLogic com os componentes em execução WLS9_ASYNC e WLS-WSAT. Primeiro componente é necessário para a realização de operações assíncronas enquanto que o segundo é a solução protectora.A vulnerabilidade está vinculada à desserialização e permite que o atacante remoto consiga executar qualquer comando sem autorização (com a ajuda de solicitação HTTP especial).
Situações foi complicada pelo fato de os invasores já terem usado esse problema. Como a Oracle lançou um conjunto trimestral de patches para seus produtos relativamente recentemente, especialistas sugeriram que o patch para a vulnerabilidade de 0 dia chegará apenas em junho 2019 como parte do próximo conjunto trimestral de atualizações.
Felizmente, especialistas estavam errados desta vez. Oracle fez gesto atípico e apresentou urgência patch não planejado para estas questões. A vulnerabilidade obteve o identificador CVE-2019-2725 e pontuou 9.8 pontos na escala de vulnerabilidade CVSS de 10 pontos.
Como o assunto é imensamente sério, desenvolvedores pedem que os usuários instalem atualizações o mais rápido possível.
“Devido à gravidade dessa vulnerabilidade, A Oracle recomenda enfaticamente que os clientes apliquem as atualizações fornecidas por este Alerta de segurança o mais rápido possível”, – escreveu desenvolvedores Oracle
Fonte: https://www.oracle.com
