Oracle waarschuwt voor zero day-lek in WebLogic Server

[Captain Kirk]

Softwarebedrijf Oracle heeft een waarschuwing afgegeven voor een zero day-lek in Oracle WebLogic Server en de Apache Commons Library, waardoor een aanvaller kwetsbare Weblogic Servers kan overnemen en een beveiligingsupdate is nog niet beschikbaar.

Het probleem wordt veroorzaakt door een kwetsbaarheid in de Apache Commons Library. Dit is een project van de Apache Software Foundation en biedt een aantal veelgebruikte Java-onderdelen. Verschillende producten van Oracle, alsmede andere softwareleveranciers en opensourcesoftwareprojecten, maken van deze bibliotheek gebruik. Op internet is nu uitgebreide informatie over de kwetsbaarheid verschenen en hoe die is te gebruiken.

Naast Oracle WebLogic Server speelt het probleem ook bij de WebSphere Application Server, JBoss Application Server, Jenkins en OpenNMS. In het geval van Weblogic Server is de kwetsbaarheid op afstand aan te vallen en vereist geen authenticatie. In het geval de aanval succesvol is kan de aanvaller willekeurige code binnen Oracle WebLogic Server uitvoeren. In afwachting van een noodpatch heeft Oracle tijdelijk advies online gezet en adviseert klanten om de update, zodra die beschikbaar is, zo snel als mogelijk te installeren.

 

 

 

bron: security.nl