Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

Soron kívüli biztonsági javítást kell kiadni a WebLogic Server kritikus hibájára

Bodnár Ádám, 2008. július 30. 09:09
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Soron kívüli biztonsági frissítést kénytelen kiadni az Oracle a WebLogic Server és WebLogic Express alkalmazásszerverekhez, mivel azokban egy távolról kihasználható sebezhetőségre bukkantak, amelyet kihasználva támadók tetszőleges kódot futtathatnak. A sérülékenységet kihasználó mintakódok már az interneten terjednek.

[HWSW] Soron kívüli biztonsági frissítést kénytelen kiadni az Oracle a WebLogic Server és WebLogic Express alkalmazásszerverekhez, mivel azokban egy távolról kihasználható sebezhetőségre bukkantak, amelyet kihasználva támadók tetszőleges kódot futtathatnak. A sérülékenységet kihasználó mintakódok már az interneten terjednek.

Eric Maurice, az Oracle biztonsági szakértője blogbejegyzésében leírja, a vállalattal senki sem lépett kapcsolatba a biztonsági rés miatt, a felfedező személy a vállalat értesítése nélkül hozta nyilvánosságra a sebezhetőség leírását és a mintakódokat is. Így az Oracle jelenleg nem rendelkezik javítással, de már dolgozik rajta, annál is inkább, mert a létező legsúlyosabb, a Common Vulnerability Scoring System szerint 10.0 besorolású hibáról van szó.

A probléma a WebLogic Server Apache-konnektorában van: túl hosszú HTTP verziósztringekkel veremtúlcsordulást lehet elérni. A WebLogic Server 10 és a WebLogic Server 9.2 mellett számos más szoftververzió is érintett, a listájuk elérhető az interneten. Az Oracle azt javasolja a felhasználóknak, hogy a hibajavítás érkezéséig konfigurálják be úgy az Apache-t, hogy ne fogadjon túl hosszú üzeneteket (a httpd.conf állományba be kell illeszteni a LimitRequestLine 4000 sort, és újraindítani a szoftvert).

Az Oracle több mint három évvel ezelőtt állt át negyedéves szoftverfrissítési ciklusra, a legutolsó patchek július 15-én érkeztek. Azóta ez az első alkalom, hogy a cégnek soron kívüli javítást kellett készítenie.

FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.