Orakelproblemer Advarsel over farlig WebLogic-fejl

Oracle scrambler for at oprette en nødsituation for en alvorlig sårbarhed i virksomhedens WebLogic-server, da udnyttelseskoden cirkulerer på internettet.

Virksomheden udstedte et sjældent sikkerhedsalarm tirsdag den første advarsel uden tidsplan siden den introducerede en regelmæssigt planlagt patchfrigivelsescyklus for mere end tre år siden.

Problemet ligger i Apache-plugin'et til Oracle WebLogic Server og Express-produkterne (tidligere kendt som BEA WebLogic), begge applikationsservere.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Sårbarheden kan udnyttes over et netværk uden brug af brugernavn eller kodeord, skrev Oracle Eric Maurice i en rådgivning.

Fejlen kan resultere i "kompromitterende Fortroligheden, integriteten og tilgængeligheden af ​​det målrettede system, "skrev Maurice. Problemet scorer en 10,0, den mest alvorlige vurdering på CVSS-skalaen (Common Vulnerability Scoring System), en ramme, der bruges til at evaluere risikoen for en bestemt fejl.

Oracle råder administratorer til at gennemføre en løsning, mens den arbejder for at skabe en patch.

"Vi forventer, at denne rettelse skal være klar meget snart, og vi vil udstede en opdateret sikkerhedsadvarsel for at lade kunderne vide om tilgængeligheden," skrev Maurice.

Den person, der offentliggjorde brugen af ​​kode, advarede ikke Oracle på forhånd skrev Maurice. Udnyttelseskoden blev udgivet efter 15. juli, sidste gang Oracle udstedte patches.

Udgivelse eller brug af exploit kode lige efter patches er blevet udstedt, er en taktik ofte ansat mod andre virksomheder som Microsoft, som patches på den anden tirsdag af hver måned. Hackere forsøger at maksimere den tid, de kan udnytte en fejl, før et firma udsteder patches igen.

Microsoft har imidlertid været kendt for at udstede out-of-cycle patches til meget farlige fejl.