WebLogic Domain Overview & Deployment
A Oracle está lutando para criar um patch de emergência para uma vulnerabilidade severa no servidor WebLogic da empresa, enquanto o código de exploração circula na Web.
A empresa emitiu um raro alerta de segurança na terça-feira, o primeiro aviso fora do cronograma introduziu um ciclo de lançamento de patches programado regularmente há mais de três anos.
O problema está no plug-in Apache para os produtos Oracle WebLogic Server e Express (anteriormente conhecido como BEA WebLogic), ambos servidores de aplicativos.
[Outras leituras: Como remover malware do seu PC Windows]A vulnerabilidade pode ser explorada em uma rede sem a necessidade de um nome de usuário ou senha, escreveu Eric Maurice, da Oracle, em um comunicado.
A falha pode resultar em "comprometimento" a confidencialidade, integridade e disponibilidade do sistema alvo ", escreveu Maurice. O problema pontua 10.0, a classificação mais séria, na escala CVSS (Common Vulnerability Scoring System), uma estrutura usada para avaliar os riscos de uma falha específica.
A Oracle aconselhou os administradores a implementar uma solução alternativa enquanto trabalhava para criar um patch.
"Esperamos que esta correção esteja pronta em breve, e emitiremos um alerta de segurança atualizado para informar os clientes sobre sua disponibilidade", escreveu Maurice.
A pessoa que publicou o código de exploração não avisou Oracle adiantado, escreveu Maurice. O código de exploração foi lançado depois de 15 de julho, a última vez que a Oracle emitiu patches. A liberação ou uso de código de exploit logo após os patches terem sido emitidos é uma tática frequentemente empregada contra outras empresas como a Microsoft, que corrige na segunda terça-feira de cada mês. Os hackers estão tentando maximizar a quantidade de tempo que podem tirar proveito de uma falha antes que uma empresa emita patches novamente.
A Microsoft, no entanto, é conhecida por emitir patches fora do ciclo para falhas altamente perigosas.
Apple finalmente corrige a perigosa falha no DNS
A Apple finalmente lançou um patch para a falha do DNS (Domain Name System) considerada uma das vulnerabilidades mais perigosas de sempre Afectar a Internet
Quase um mês depois de uma falha crítica no Sistema de Nomes de Domínio da Internet ter sido relatada pela primeira vez, os fornecedores de alguns dos softwares de firewall mais usados estão lutando para resolver um problema que pode essencialmente desfazer parte dos patches que tratam desse bug. > A falha no DNS afeta o software de servidor feito por muitos fornecedores, incluindo a Microsoft, a Cisco Systems eo Internet Systems Consortium.
Alguns softwares de firewall desfazem um recurso de randomização de porta de origem que foi introduzido nos patches do DNS. Embora essa mudança não negue completamente o patch DNS, pode tornar mais fácil para os invasores realizar um ataque de envenenamento de cache contra o servidor DNS, dizem especialistas em segurança.
Falha de segurança perigosa provavelmente apenas uma fraude
Uma alegação de uma vulnerabilidade de software em um programa usado para conectar-se com segurança a servidores na Internet é provavelmente uma farsa De acordo com a SANS.