08-02-2010

Una vulnerabilitat crítica en WebLogic Server Node Manager ha forçat a Oracle a publicar una actualització no planificada fora del seu cicle habitual. D'acord amb l'alerta reportada pel fabricant, la vulnerabilitat pot ser explotada de forma remota per un usuari no autenticat per a comprometre el sistema.

Sistemes afectats:

Oracle WebLogic Server

Sistema operatiu:

* Oracle WebLogic Server 11gR1 (10.3.1 i 10.3.2)
* Oracle WebLogic Server 10gR3  10.3.0
* Oracle WebLogic Server 10.0 i MP2
* Oracle WebLogic Server 9.0, 9.1, 9.2 fins MP3
* Oracle WebLogic Server 8.1 fins SP6
* Oracle WebLogic Server 7.0 fins SP7

Risc:   Alt

Descripció:

Açò és aparentment més fàcil de dur a terme en sistemes Windows que en els Unix - Oracle ha assignat a la vulnerabilitat una puntuació de risc (CVSS) de 10 per als quals estan sota Windows i 7,5 per als quals estan sota Unix.

Oracle està avisant els usuaris que instal·len l'actualització tan prompte com siga possible. Oracle va resoldre un total de 24 vulnerabilitats a meitat de gener, incloses múltiples vulnerabilitats en el seu WebLogic Server. Una vulnerabilitat en Oracle 11gR2, la qual permet a usuaris no privilegiats obtindre privilegis de systema va ser també descoberta aquesta setmana i roman encara sense posar pegats.

Solució:

Apliqueu pegats publicats per Oracle.

Referències:

• Oracle Security Alert for CVE-2010-0073
• Oracle patches 24 holes
• Vulnerability in Oracle 11gR2 allows system privileges for all

Font:   The H Security http://www.h-online.com/