Orakelproblemer Advarsel over farlig WebLogic-feil

Oracle forvrenger for å opprette en nødsporre for et alvorlig sårbarhet i selskapets WebLogic-server, da brukskoden sirkulerer på nettet.

Selskapet utstedte et sjeldent sikkerhetsvarsel tirsdag, den første off-schedule-advarselen siden den introduserte en regelmessig planlagt oppdateringspakke for mer enn tre år siden.

Problemet ligger i Apache-plugin for Oracle WebLogic Server og Express-produkter (tidligere kjent som BEA WebLogic), begge applikasjonsservere.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Sårbarheten kan utnyttes over et nettverk uten behov for brukernavn eller passord, skrev Oracle Eric Maurice i en veiledning.

Feilen kan føre til "kompromitterende Fortroligheten, integriteten og tilgjengeligheten til det målrettede systemet, "skrev Maurice. Problemet gir en 10,0, mest alvorlig vurdering, på CVSS-skalaen (Common Vulnerability Scoring System), et rammeverk som brukes til å evaluere risikoen for en bestemt feil.

Oracle informerte administratorer om å gjennomføre en løsning mens de jobber for å lage en oppdatering.

"Vi forventer at denne løsningen skal være klar snart, og vi vil utstede en oppdatert sikkerhetsvarsel for å gi kundene beskjed om tilgjengeligheten," skrev Maurice.

Den personen som publiserte brukskoden advarte ikke Oracle på forhånd skrev Maurice. Utnyttelseskoden ble utgitt etter 15. juli, den siste gangen Oracle utstedte patcher.

Utgivelse eller bruk av brukskode like etter at patcher har blitt utstedt, er en taktikk som ofte er ansatt mot andre selskaper som Microsoft, som patches på den andre tirsdag hvert måned. Hackere prøver å maksimere hvor lang tid de kan dra nytte av en feil før et selskap utsteder patcher igjen.

Microsoft har imidlertid vært kjent for å utstede utilsiktede patcher for svært farlige feil.