Onderzoekers waarschuwen voor ernstig lek in Oracle WebLogic
Onderzoekers waarschuwen voor een ernstig beveiligingslek in Oracle WebLogic waar nog geen patch voor beschikbaar is. Twee weken geleden kwam Oracle met updates voor 254 kwetsbaarheden. Eén van de updates was voor een ernstig lek in WebLogic waardoor een aanvaller het systeem kan overnemen.
Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid werd die met een 9,8 beoordeeld. De update van Oracle is echter niet afdoende en kan worden omzeild, zo meldt een onderzoeker van Alibaba. Zodoende zijn systemen zelfs met de update nog steeds kwetsbaar. Kort na het uitkomen van de Oracle-update op 17 april verscheen er een proof-of-concept exploit om kwetsbare systemen aan te vallen. Dit leidde tot een toename van het aantal scans naar kwetsbare systemen, hoewel er nog geen "opportunistische aanvallen" zijn waargenomen, zo laat securitybedrijf GreyNoise weten.
Onderzoeker Kevin Beaumont adviseert beheerders om inkomend verkeer op tcp-poort 7001 te blokkeren, om zo aanvallers te stoppen. Begin dit jaar werd er nog gewaarschuwd voor een campagne waarbij aanvallers op Oracle WebLogic-servers een Monero-cryptominer installeerden. Dit gebeurde via een lek dat Oracle vorig jaar oktober patchte. Of Oracle met een tussentijdse oplossing voor het nu ontdekte probleem komt is onbekend. Het softwarebedrijf brengt updates eens per kwartaal uit. De volgende patchronde staat gepland voor 17 juli.
https://plumbr.io/blog/java/most-popular-java-application-servers-2017-edition
https://plumbr.io/blog/java/most-popular-java-application-servers-2017-edition
Denk eerder dat dit te maken heeft met de hoge kosten...
En als je dan erbij optelt dat upgrades ook geld kosten, of in een peperduur contract zitten, dan snap je wel waarom dat marktaandeel zo klein is, zat alternatieven die goedkoper zijn en upgrades gratis aanbieden, vanwege security.
Het aantal servers/machines op zich is niet interessant.
https://www.google.nl/amp/s/webspherecompetition.wordpress.com/2015/04/29/gartner-middleware-market-share-report-shows-ibm-as-1-for-14th-year-in-a-row/amp/
Heb je de markt van grote kapitaalkrachtige bedrijven met de grote datatstromen dan is dat lucratiever dam het gratis en voor niets wat op goedkope doosjes gezet wordt.
IBM en Oracle hebben toegang tot de boardrooms van grote bedrijven en een voorkeursbehandeling.
Ooit meegemaakt (grote organisatie) tomcat verboden want niet schaalbaar nog beheersbaar. Het moest IBM worden .... intussen wordt de service van 3-party als appliance en in the cloud aangeboden. De interne ICT en de interne richtlijnen worden op een zijspoor gezet. De business vind dat prima.
https://plumbr.io/blog/java/most-popular-java-application-servers-2017-edition
Nadeel dit soort applicaties draaien vaak bij grote bedrijven...... En kan dus grote gevolgen hebben.
En 1 site is genoeg.....
Was het grootste data lek ook niet uit een Java applicatie?
Tja, daarvoor heb je geen argumenten want feitelijk is Java een professioneel ontworpen, robuuste en veilige programmeertaal. Daarom wordt het ook zoveel gebruikt door grote bedrijven en instanties, voor professionele toepassingen, met hoge eisen. WebLogic is maar één uit een schier eindeloze lijst van software in Java.
Java heeft zich allang bewezen als professionele programmeertaal en daar doet dit probleem of die discussie rond de onveiligheid van de Java browserplug-in niets aan af. Die laatste is trouwens al lang uitgefaseerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.