Tin An Ninh Mạng

Oracle phát hành bản vá cho lỗ hổng nghiêm trọng trên máy chủ WebLogic

hacker 24
Trong tuần này, Oracle vừa phát hành bản cập nhật quan trọng (CPU) cho tháng 7/2021, cung cấp tổng cộng 342 bản vá an ninh cho nhiều dòng sản phẩm khác nhau. Trong đó, có rất nhiều lỗ hổng cho phép kẻ tấn công từ xa kiểm soát hoàn toàn hệ thống bị ảnh hưởng.

{

}

weblogic_server.jpg

Lỗ hổng nguy hiểm nhất có mã định danh CVE-2019-2729, là lỗi chuyển đổi cấu trúc dữ liệu (deserialization) tồn tại trong thành phần XMLDecoder của máy chủ web Oracle WebLogic, có thể bị khai thác từ xa mà không yêu cầu quyền xác thực. Lỗ hổng này ban đầu được vá trong bản cập nhật out-of-band của Oracle trong tháng 6 năm 2019.

WebLogic Server của Oracle là một máy chủ ứng dụng phổ biến được sử dụng trong việc xây dựng và triển khai các ứng dụng Java EE dành cho doanh nghiệp. Lỗ hổng tồn tại trong thành phần Oracle Hyperion Infrastructure Technology. Các phiên bản bị ảnh hưởng bởi lỗ hổng này là 11.1.2.4 và 11.2.5.0.

Lỗ hổng CVE-2019-2729 (điểm CVSS 9.8) không khó để khai thác và đặc biệt không cần xác thực (có thể bị khai thác qua mạng mà không cần tên và mật khẩu của người dùng).

Ngoài ra, WebLogic Server cũng bị ảnh hưởng bởi các lỗ hổng nguy hiểm dưới đây:

Oracle khuyến cáo người dùng nên cập nhật bản vá sớm nhất có thể, cũng như triển khai các biện pháp bảo vệ phù hợp để tránh trở thành mục tiêu của kẻ tấn công.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !