Категория > Новости > Oracle выпустила экстренный патч для свежей 0-day проблемы - «Новости»

Oracle выпустила экстренный патч для свежей 0-day проблемы - «Новости»


29-04-2019, 18:00. Автор: Wood
");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});
Рекомендуем почитать:

Xakep #241. Взлом игр

  • Содержание выпуска

  • Подписка на «Хакер»

В конце прошлой недели эксперты китайской компании KnownSec 404, стоящей за разработкой IoT-поисковика ZoomEye, обнаружили опасную проблему в Oracle WebLogic.


Баг представлял угрозу для любых серверов Oracle WebLogic с запущенными компонентами WLS9_ASYNC и WLS-WSAT. Первый компонент нужен для выполнения асинхронных операций, а второй является защитным решением. Уязвимость связана с десериализацией и позволяет удаленному атакующему добиться выполнения любых команд без авторизации (с помощью специального HTTP-запроса).


Ситуация осложнялась тем, что проблему уже использовали злоумышленники. Но Oracle выпустила ежеквартальный набор исправлений для своих продуктов совсем недавно, и специалисты полагали, что патч для 0-day уязвимости появится только в июле 2019 года, в составе следующего ежеквартального набора обновлений.


К счастью, на этот раз эксперты ошиблись. Oracle пошла на нехарактерный для себя шаг, и выпустила экстренный, внеплановый патч для этой проблемы. Уязвимости был присвоен идентификатор CVE-2019-2725, и она набрала 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Из-за высокой серьезности проблемы разработчики призывают пользователей установить обновление как можно скорее.


Источник новостиgoogle.com
Перейти обратно к новости