08-02-2010

Una vulnerabilidad crítica en WebLogic Server Node Manager ha forzado a Oracle a publicar una actualización no planificada fuera de su ciclo habitual. De acuerdo a la alerta reportada por el fabricante, la vulnerabilidad puede ser explotada de forma remota por un usuario no autenticado para comprometer el sistema.

Sistemas afectados:

Oracle WebLogic Server

Sistema operativo:

* Oracle WebLogic Server 11gR1 (10.3.1 y 10.3.2)
* Oracle WebLogic Server 10gR3  10.3.0
* Oracle WebLogic Server 10.0 y MP2
* Oracle WebLogic Server 9.0, 9.1, 9.2 hasta MP3
* Oracle WebLogic Server 8.1 hasta SP6
* Oracle WebLogic Server 7.0 hasta SP7

Riesgo:   Alto

Descripción:

Esto es aparentemente más fácil de llevar a cabo en sistemas Windows que en los Unix - Oracle ha asignado a la vulnerabilidad una puntuación de riesgo (CVSS) de 10 para los que están bajo Windows y 7,5 para los que están bajo Unix.

Oracle está avisando a los usuarios de que instalen la actualización tan pronto como sea posible. Oracle resolvió un total de 24 vulnerabilidades a mitad de Enero, incluyendo múltiples vulnerabilidades en su WebLogic Server. Una vulnerabilidad en Oracle 11gR2, la cuál permite a usuarios no privilegiados obtener privilegios de systema fué también descubierta esta semana y permance todavía sin parchear.

Solución:

Aplicar parches publicados por Oracle.

Referencias:

• Oracle Security Alert for CVE-2010-0073
• Oracle patches 24 holes
• Vulnerability in Oracle 11gR2 allows system privileges for all

Fuente:   The H Security http://www.h-online.com/