image

Oracle komt met noodpatch voor ernstig lek in WebLogic Server

woensdag 19 juni 2019, 10:27 door Redactie, 8 reacties

Oracle heeft een noodpatch uitgebracht voor een ernstige kwetsbaarheid in Oracle WebLogic Server Web Services waardoor een ongeauthenticeerde aanvaller op afstand willekeurige code kan uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek is die met een 9,8 beoordeeld.

Vanwege de ernst van de kwetsbaarheid adviseert Oracle dan ook om de noodpatch zo snel als mogelijk uit te rollen. Oracle WebLogic is een populaire Java-applicatieserver. Het platform is ook een geliefd doelwit van cybercriminelen. Vorig jaar werd een Oracle WebLogic-lek al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers destijds voor cryptomining en het installeren van ransomware.

In april van dit jaar verscheen er ook een noodpatch voor WebLogic-servers. De betreffende kwetsbaarheid werd al voor het uitkomen van de update gebruikt om servers met ransomware te infecteren. Oracle komt eens per kwartaal met geplande beveiligingsupdates. De volgende patchronde staat gepland voor 16 juli. In het geval van ernstige kwetsbaarheden wijkt het softwarebedrijf van deze cyclus af.

Reacties (8)
19-06-2019, 10:43 door Anoniem
When shit hits the fan....


Hier gaat weer een hoop ellende uit voorkomen......
19-06-2019, 10:58 door Anoniem
Whoops. Alweer een lek, Java is een grote gatenkaas en al de muizen renen zo door de maze heen.
19-06-2019, 11:19 door [Account Verwijderd] - Bijgewerkt: 19-06-2019, 11:22
Door Anoniem: Whoops. Alweer een lek, Java is een grote gatenkaas en al de muizen renen zo door de maze heen.

Euh... Java is lek? Je bedoelt WebLogic is lek! Ja, WebLogic is een Java EE application server maar dat wil nog niet zeggen dat Java (EE) lek is of dat (andere) Java EE application servers [*] lek zijn.

[*] Er zijn immers veel Java application servers: https://en.wikipedia.org/wiki/List_of_application_servers#Java
19-06-2019, 11:44 door Anoniem
Door En Rattshaverist:
Weer een nieuwe naam verzonnen? Hoeveelste is dat in de afgelopen maand wel niet? Afgezien dat je je account verwijderd had.

Door Anoniem: Whoops. Alweer een lek, Java is een grote gatenkaas en al de muizen renen zo door de maze heen.

Euh... Java is lek?
Technisch klopt het wel. Java is 1 grote gatenkaas.

Je bedoelt WebLogic is lek! Ja, WebLogic is een Java EE application server maar dat wil nog niet zeggen dat Java (EE) lek is of dat (andere) Java EE application servers [*] lek zijn.

[*] Er zijn immers veel Java application servers: https://en.wikipedia.org/wiki/List_of_application_servers#Java
Ook correct. Maar staat er los van, dat java een gatenkaas is. Als je onderliggende infrastructuur (ofwel je fundering) als niet goed in elkaar zit. Kan de rest ook nooit echt goed zijn.

Ik heb de vergelijke wel eens vaker gehoord met Windows en fundering. Komt nu wel op het zelfde uit.
19-06-2019, 15:07 door [Account Verwijderd] - Bijgewerkt: 19-06-2019, 15:25
Door Anoniem:
Door En Rattshaverist:
Door Anoniem: Whoops. Alweer een lek, Java is een grote gatenkaas en al de muizen renen zo door de maze heen.

Euh... Java is lek?
Technisch klopt het wel. Java is 1 grote gatenkaas.

Hoe kom je daarbij? Ik denk dat je de Java-browserplug-in verwart met Java zelf. Je mag een gedegen onderbouwing proberen te geven maar vooralsnog schrijf ik het af als onzin.

Door Anoniem:
Je bedoelt WebLogic is lek! Ja, WebLogic is een Java EE application server maar dat wil nog niet zeggen dat Java (EE) lek is of dat (andere) Java EE application servers [*] lek zijn.

[*] Er zijn immers veel Java application servers: https://en.wikipedia.org/wiki/List_of_application_servers#Java
Ook correct. Maar staat er los van, dat java een gatenkaas is. Als je onderliggende infrastructuur (ofwel je fundering) als niet goed in elkaar zit. Kan de rest ook nooit echt goed zijn.

Ik heb de vergelijke wel eens vaker gehoord met Windows en fundering. Komt nu wel op het zelfde uit.

De Windows fundering zit aantoonbaar slecht in elkaar [*]. Dat komt met name naar boven bij het nodig zijn van rebooten bij updates en het aantal nieuwe problemen die bij hun patches om eerdere problemen op te lossen ontstaan. Dit kan je niet van Java zeggen, waar de fundering juist uiterst robuust en tijdsbestendig is gebleken.

[*] https://itvision.altervista.org/why-windows-10-sucks.html#WindowsALL
19-06-2019, 15:31 door karma4 - Bijgewerkt: 19-06-2019, 15:34
Door En Rattshaverist:] ...
De Windows fundering zit aantoonbaar slecht in elkaar [*]. Dat komt met name naar boven bij het nodig zijn van rebooten bij updates en het aantal nieuwe problemen die bij hun patches om eerdere problemen op te lossen ontstaan. Dit kan je niet van Java zeggen, waar de fundering juist uiterst robuust en tijdsbestendig is .....

Vax achtergrond en mainframe achtergrond nieuw opgezet in de jaren 90. Dat zou slechter zijn dan iets uit de jaren 60 enkel voor minder serieuze zaken als Pdp's.
Je hebt de basis en ontwikkelingen niet op een rijtje.

Dat herstarten van linux machines niet nodig zou zijn met updates. Dan heb je nog niet door waar het beheer meting faalt en er zoveel massale datalekken zijn.

Dat krijg je echt niet goed met wat geloofspamfletten.
Het is niet ds eerste keer dat weblogic en Webservers ernstige tekortkomingen tonen waarbij meteen de hele keten omvalt.

Stop die energie van Bashing en flaming eens in het verbeteren van beheer tools etc.
Mogelijk worst het dan nog wat.
19-06-2019, 17:06 door [Account Verwijderd]
Echt acuut de update installeren want het lek wordt blijkbaar al actief geëxploiteerd: Speed is of the essence as, according to KnownSec 404 researchers, the vulnerability is already being exploited in the wild. - https://www.helpnetsecurity.com/2019/06/19/cve-2019-2729/.
20-06-2019, 10:33 door Anoniem
Heuj, kan het CBR weer miljoenen uitgeven on hun stack te upgraden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.