Oracle phát hành bản vá cho lỗ hổng nghiêm trọng trên máy chủ WebLogic

[DDos]

Trong tuần này, Oracle vừa phát hành bản cập nhật quan trọng (CPU) cho tháng 7/2021, cung cấp tổng cộng 342 bản vá an ninh cho nhiều dòng sản phẩm khác nhau. Trong đó, có rất nhiều lỗ hổng cho phép kẻ tấn công từ xa kiểm soát hoàn toàn hệ thống bị ảnh hưởng.

Lỗ hổng nguy hiểm nhất có mã định danh CVE-2019-2729, là lỗi chuyển đổi cấu trúc dữ liệu (deserialization) tồn tại trong thành phần XMLDecoder của máy chủ web Oracle WebLogic, có thể bị khai thác từ xa mà không yêu cầu quyền xác thực. Lỗ hổng này ban đầu được vá trong bản cập nhật out-of-band của Oracle trong tháng 6 năm 2019.

WebLogic Server của Oracle là một máy chủ ứng dụng phổ biến được sử dụng trong việc xây dựng và triển khai các ứng dụng Java EE dành cho doanh nghiệp. Lỗ hổng tồn tại trong thành phần Oracle Hyperion Infrastructure Technology. Các phiên bản bị ảnh hưởng bởi lỗ hổng này là 11.1.2.4 và 11.2.5.0.

Lỗ hổng CVE-2019-2729 (điểm CVSS 9.8) không khó để khai thác và đặc biệt không cần xác thực (có thể bị khai thác qua mạng mà không cần tên và mật khẩu của người dùng).

Ngoài ra, WebLogic Server cũng bị ảnh hưởng bởi các lỗ hổng nguy hiểm dưới đây:

• CVE-2021-2394 (điểm CVSS 9.8)
• CVE-2021-2397 (điểm CVSS 9.8)
• CVE-2021-2382 (điểm CVSS 9.8)
• CVE-2021-2378 (điểm CVSS 7.5)
• CVE-2021-2376 (điểm CVSS 7.5)
• CVE-2021-2403 (điểm CVSS 5.3)

Oracle khuyến cáo người dùng nên cập nhật bản vá sớm nhất có thể, cũng như triển khai các biện pháp bảo vệ phù hợp để tránh trở thành mục tiêu của kẻ tấn công.

Theo: thehackernews ​