Oracle Issues אזהרה על פגום WebLogic מסוכן

אורקל מתכננת ליצור תיקון חירום לפגיעות חמורה בשרת WebLogic של החברה, כאשר קוד ניצול מסתובב ברשת.

החברה הנפיקה התראת אבטחה נדירה ביום שלישי, האזהרה הראשונה מחוץ ללוח הזמנים מאז הציג את המחזור המתוכנן של תיקון טלאי לפני יותר משלוש שנים.

הבעיה נמצאת בפלאגין Apache עבור Oracle WebLogic Server ומוצרי Express (המוכרים בעבר בשם BEA WebLogic), הן שרתי היישומים. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

הפגיעות יכולה להיות מנוצלת ברשת ללא צורך בשם משתמש או בסיסמה, כתב אריק מוריס של אורקל, בהתייעצות.

הפגם עלול לגרום ל"מתפשר את סודיות, שלמות וזמינות של מערכת ממוקד, "כתב מוריס. הבעיה היא 10.0, הדירוג החמור ביותר, בסולם ה- CVSS (Common Common Vorthability Scoring System), מסגרת המשמשת להערכת הסיכונים של פגם מסוים.

אורקל ממליצה למנהלי מערכת ליישם פתרון לעקיפת הבעיה בזמן שהוא פועל ליצירת "אנו מצפים שתיקון זה יהיה מוכן בקרוב מאוד, ואנו ננפיק הודעת אבטחה מעודכנת כדי לאפשר ללקוחות לדעת על זמינותה", כתב מוריס.

האדם שפרסמה קוד ניצול לא הזהיר אורקל מראש, כתב מוריס. קוד ניצול היה שפורסמו לאחר 15 ביולי, הפעם האחרונה אורקל הוציא תיקונים.

שחרור או שימוש בקוד לנצל רק לאחר תיקונים כבר הוציא טקטיקה לעתים קרובות מועסקים נגד חברות אחרות כגון מיקרוסופט, אשר תיקונים ביום שלישי השני של כל חוֹדֶשׁ. האקרים מנסים למקסם את כמות הזמן שהם יכולים לנצל את הפגם לפני חברה תיקונים שוב.

מיקרוסופט, לעומת זאת, כבר ידוע להוציא מחוץ טלאים תיקון עבור פגמים מסוכנים מאוד.