Der rapporteres om en sårbarhed i Oracle WebLogic (CVE 2019-2725), der potentielt kan give eksterne angribere adgang til at afvikle ondsindet kode på sårbare systemer.
Oracle WebLogic anvendes til at udvikle og hoste Java-EE-applikationer.
Opdateringen fra Oracle omhandler alle versioner af Oracle WebLogic med WLS9_ASYNC og WLS-WSAT-komponenter tilsluttet.
Anbefaling:
Opdater altid dine produkter med de nyeste rettelser fra producenten. Anvend så få brugerrettigheder som det er muligt.
Oracle har lagt årets første opdateringspakke til virksomhedens produkter klar.
Firmaets Critical Patch Update for januar 2019 indeholder 284 rettelser til en bred vifte af produkterne, hvor de værste svagheder potentielt kan give en ekstern angriber mulighed for at tage kontrollen over sårbare systemer.
Anbefaling:
Opdater dine produkter med de nyeste rettelser fra producenten.
Database-giganten Oracle har udsendt firmaets kvartalsopdateringer, der retter svagheder i en lang række af virksomhedens produkter.
Denne gang lukkes 301 svagheder i produktfamilierne, der blandt andet omfatter Oracle Database Server, Oracle Big Data Graph, Oracle Communications Applications, Oracle Construction and Engineering Suite og Oracle E-Business Suite.
I april lukkede Oracle masser af sikkerhedshuller, herunder en kritisk sårbarhed i et Java-modul i firmaets WebLogic Server-komponent til Fusion Middleware (CVE-2018-2628).
Et hul, der kan give angribere adgang til en sårbar server ved at afvikle ondsindet kode fra distancen.
Nu beretter en sikkerhedsforsker, der opererer under Twitter-navnet @pyn3rd og efter eget udsagn er en del af Alibaba Security Team, at have fundet en metode til at komme uden om den seneste patch fra Oracle.
Derved kan WebLogic-sårbarheden angiveligt udnyttes igen.
Den seneste samling sikkerhedsopdateringer fra Oracle lukker 254 sikkerhedshuller i blandt andet Oracle Database Server, Fusion Middleware, E-Business Suite, PeopleSoft, Oracle Industry Applications (Construction, Financial Services, Hospitality, Retail, Utilities), Java, MySQL og Oracle Systems Products Suite.
Der er 14 rettelser til Java SE. 12 af sårbarhederne kan udnyttes over nettet af en angriber, der ikke behøver oplyse brugernavn og password. Den alvorligste sårbarhed har en CVSS-score (Common Vulnerability Scoring System) på 8,3.
Rettelser til processorsårbarhederne Meltdown og Spectre er blandt indholdet af Oracles Critical Patch Update for januar kvartal. Det gælder blandt andet rettelser til firmaets x86-baserede servere og VirtualBox.
En CVSS-score (Common Vulnerability Scoring System) på 10 er den højeste risikovurdering af en sårbarhed. Den har en af de nyopdagede sårbarheder i Oracle Tuxedo fået.
En anden er vurderet til 9,9, mens de øvrige er på henholdsvis 7,5, 7 og 5,3.
Sårbarhederne findes i Jolt-serveren, der er indbygget i Tuxedo.
Peoplesoft er blandt de produkter, der bruger Tuxedo. Derfor kan en angriber udnytte sårbarhederne til at få fuld kontrol med et Peoplesoft-system.
En sårbarhed med en CVSS-score (Common Vulnerability Scoring System) på 10 ud af 10 er opdaget i Oracle Identity Manager.
En angriber kan udnytte sårbarheden over netværk uden at være logget ind.
Oracle Identity Manager er en del af Oracle Fusion Middleware.
Sårbarheden findes i Identity Manager version 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 og 12.2.1.3.0.
Normalt udsender Oracle kun rettelser en gang i kvartalet. Men denne sårbarhed er vurderet til at være så alvorlig, at virksomheden har udsendt en rettelse uden for skemaet.