Oracle dicht kritieke lekken in WebLogic Server en andere producten

[Captain Kirk]

Tijdens de patchronde van oktober heeft Oracle 334 patches uitgebracht, waaronder voor kritieke kwetsbaarheden in WebLogic Server en andere producten. Net als bij vorige patchrondes zegt Oracle dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht.

Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Verschillende van de kwetsbaarheden die nu zijn verholpen hebben op een schaal van 1 tot en met 10 een impactscore van 9.8. Het gaat onder andere om Oracle Outside In Technology, Oracle WebLogic Server, Oracle Business Intelligence Enterprise Edition, Oracle Solaris Cluster, Oracle Commerce Guided Search, Oracle Communications Unified Assurance, Oracle Enterprise Communications Broker en Oracle SD-WAN (Aware/Edge).

Van deze producten is vooral WebLogic Server een populair doelwit in het verleden geweest, waarbij kwetsbaarheden kort na het verschijnen van updates werden aangevallen. De nu verholpen kwetsbaarheid in het product (CVE-2024-21216) is volgens Oracle eenvoudig door een ongeauthenticeerde aanvaller te misbruiken. Verdere details zijn niet gegeven. In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 21 januari 2025.

 

bron: https://www.security.nl