Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Spoločnosť Oracle dodatočne po vydaní plánovanej štvrťročnej aktualizácie opravila kritickú zraniteľnosť

05.11.2020
Spoločnosť Oracle vydala záplatu na kritickú zraniteľnosť, ktorá umožňuje vzdialené vykonávanie kódu. Ovplyvňuje niekoľko verzií servera Oracle WebLogic. Môže byť zneužitá prostredníctvom protokolu HTTP bez autentifikácie.

 

Dôsledky

  • Vzdialené vykonávanie kódu
  • Kompromitácia zraniteľného systému

Opis činnosti
CVE-2020-14750

Spoločnosť Oracle uvádza, že na zneužitie zraniteľnosti CVE-2020-14750 nie sú potrebné technické znalosti a tiež sa nevyžaduje žiadna interakcia používateľa. Útočník je schopný získať kontrolu nad postihnutým systémom bez autentifikácie. Táto zraniteľnosť existuje v konzole servera Oracle WebLogic a je možné ju zneužiť prostredníctvom protokolu HTTP. CVSS skóre zraniteľnosti je 9.8.

Úzko súvisí so zraniteľnosťou CVE-2020-14882, ktorá bola opravená v plánovanej štvrťročnej aktualizácii spoločnosti Oracle v októbri. Opravu je však možné obísť iba zámenou veľkých a malých písmen v žiadosti. Tiež sa jedná o chybu, ktorej zneužitím môže dôjsť ku vzdialenému vykonávaniu ľubovoľného kódu.

Oracle WebLogic Server je aplikačný server, ktorý sa používa pri vytváraní a nasadzovaní aplikácií Java EE. Zraniteľné verzie tohto servera sú 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 a 14.1.1.0.0. Spoločnosť Oracle dôrazne odporúča aktualizáciu na najnovšiu verziu. Úspešné zneužitie tejto chyby môže viesť k prevzatiu kontroly nad zraniteľným serverom Oracle WebLogic. Spoločnosť Oracle tiež varuje, že kód zneužívajúci túto zraniteľnosť je už k dispozícii online.

Zraniteľné systémy
Oracle WebLogic Server verzie 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 a 14.1.1.0.0

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Vzdialené vykonávanie kódu

Odporúčania
Odporúča sa bezodkladná aktualizácia na najnovšiu dostupnú verziu.

Odkazy
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html#AppendixFMW
https://www.securityweek.com/oracle-warns-weblogic-flaw-related-exploited-vulnerability
https://securityaffairs.co/wordpress/110329/hacking/cve-2020-14750-weblogic-server-flaw.html?utm_source=rss&utm_medium=rss&utm_campaign=cve-2020-14750-weblogic-server-flaw
https://www.zdnet.com/article/oracle-publishes-rare-out-of-band-security-update-for-weblogic-servers
https://threatpost.com/oracle-update-weblogic-server-flaw/160889/



<< zoznam oznámení