Argitalpen data: 2019/04/29
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- Oracle WebLogic Server, 10.3.6.0.0 eta 12.1.3.0.0 bertsioak
Azalpena:
Oracle-k larritasun kritikoko ahultasun
baten berri eman du, bere Oracle WebLogic Server produktuan kodearen urruneko
exekuzioa ahalbidetzen duena. Dagoeneko badago ahultasun hori nola balia
daitekeen erakusten duen kontzeptu froga bat.
Konponbidea:
- Oracle-k erabiltzaileei lotura bat eskaini die eskuragarri dauden
partxeei eta horiek instalatzeko argibideei buruzko informazioa jasotzen duen
dokumentazioa lortzeko.
- Arintze neurri modura, ahulak diren «wls9_async_response.war» eta «wls-wsat.war» moduluak desgaitzea, edo «/ _async / *» eta «/ wls-wsat / *» URLetarako sarbidea galaraztea gomendatzen dute Oracle WebLogic-en instalazioen barnean.
Xehetasuna:
- Oracle WebLogic Server-ek duen deserializazio erako ahultasun bat baliatuz, erasotzaile batek urrunetik eta autentifikaziorik gabe kodea exekuta lezake. Ahultasun horretarako CVE-2019-2725 identifikatzailea erabili da.
Etiketak: Eguneraketa, Oracle, Ahultasuna