Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kodearen urruneko exekuzio erako ahultasuna Oracle WebLogic Server-en

Argitalpen data: 2019/04/29

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Oracle WebLogic Server, 10.3.6.0.0 eta 12.1.3.0.0 bertsioak

Azalpena:

Oracle-k larritasun kritikoko ahultasun baten berri eman du, bere Oracle WebLogic Server produktuan kodearen urruneko exekuzioa ahalbidetzen duena. Dagoeneko badago ahultasun hori nola balia daitekeen erakusten duen kontzeptu froga bat.

Konponbidea:

  • Oracle-k erabiltzaileei lotura bat eskaini die eskuragarri dauden partxeei eta horiek instalatzeko argibideei buruzko informazioa jasotzen duen dokumentazioa lortzeko.
  • Arintze neurri modura, ahulak diren «wls9_async_response.war» eta «wls-wsat.war» moduluak desgaitzea, edo «/ _async / *» eta «/ wls-wsat / *» URLetarako sarbidea galaraztea gomendatzen dute Oracle WebLogic-en instalazioen barnean.

Xehetasuna:

  • Oracle WebLogic Server-ek duen deserializazio erako ahultasun bat baliatuz, erasotzaile batek urrunetik eta autentifikaziorik gabe kodea exekuta lezake. Ahultasun horretarako CVE-2019-2725 identifikatzailea erabili da.

Etiketak: Eguneraketa, Oracle, Ahultasuna