Oracle WebLogic Server & EBS R12.2 Q/A: JVM, Heap, GC, Stack, Thread Dump
Ang Oracle ay nag-aagawan upang lumikha ng emergency patch para sa isang malubhang kahinaan sa WebLogic server ng kumpanya, habang ang paggamit ng code ay nagpapalipat-lipat sa Web.
Nagbigay ang kumpanya ng isang bihirang alerto sa seguridad sa Martes, ang unang off-schedule warning mula noon ipinakilala ang isang regular na naka-iskedyul na cycle ng paglabas ng patch nang higit sa tatlong taon na ang nakakaraan.
Ang problema ay nasa Apache plugin para sa mga Oracle WebLogic Server at Express na mga produkto (dating kilala bilang BEA WebLogic), parehong mga application server
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PCAng kahinaan ay maaaring pinagsamantalahan sa isang network na walang pangangailangan para sa isang username o password, sumulat ng Oracle's Eric Maurice, sa isang advisory.
Ang lamat ay maaaring magresulta sa "pag-kompromiso ang pagiging kumpidensyal, integridad at pagkakaroon ng naka-target na sistema, "isinulat ni Maurice. Ang problema ay tumutukoy sa isang 10.0, ang pinaka-seryosong rating, sa CVSS scale (Common Vulnerability Scoring System), isang balangkas na ginagamit upang suriin ang mga panganib ng isang partikular na depekto.
Oracle pinapayuhan ang mga administrator upang ipatupad ang isang workaround habang ito ay nagtatrabaho upang lumikha isang pag-aayos.
"Inaasahan namin na ang pag-aayos na ito ay handa na sa lalong madaling panahon, at magbibigay kami ng na-update na Alert ng Seguridad upang ipaalam sa mga customer ang tungkol sa kakayahang magamit nito," sumulat si Maurice.
Oracle nang maaga, isinulat ni Maurice. Ang pinagsamantalang code ay inilabas pagkatapos ng Hulyo 15, ang huling pagkakataon na ibinigay ng Oracle ang mga patches.
Ang paglalabas o paggamit ng code sa pagsasamantala pagkatapos na maibigay ang mga patches ay isang taktika na kadalasang ginagamit sa iba pang mga kumpanya tulad ng Microsoft, na nagsasagawa ng ikalawang Martes ng bawat buwan. Ang mga Hacker ay nagsisikap na mapakinabangan ang dami ng oras na maaari nilang samantalahin ang isang kapintasan bago ang mga isyu ng kumpanya ay muling magkakasama.
Ang Microsoft, gayunpaman, ay kilala na mag-isyu ng out-of-cycle patches para sa mga lubhang mapanganib na mga kakulangan
Kabilang sa mga apektadong produkto ay ang database ng Oracle; ang database ng TimesTen nito sa memory; Oracle Application Server; isang bilang ng mga produkto ng PeopleSoft Enterprise; Oracle Enterprise Manager Database Control; E-Business Suite; at WebLogic Server, na nakuha nito sa pamamagitan ng pagbili ng BEA Systems. Walang mga bagong patch para sa mga produkto ng Oracle's J.D. Edwards.
Ang patch set ay may kasamang 11 pag-aayos ng database na nakakaapekto sa isang bilang ng mga bersyon sa loob ng 11g, 10g at 9i release. Wala sa mga kahinaan sa seguridad ang target na patches ay maaaring pinagsamantalahan sa isang network na walang user name at password, sinabi ng Oracle.
Apple Panghuli Patches Dangerous DNS Flaw
Ang Apple ay sa wakas ay nagbigay ng isang patch para sa DNS (Domain Name System) kapintasan itinuturing na isa sa mga pinaka-mapanganib na mga kahinaan sa kailanman
Dangerous Security Flaw Malamang Isang Hoax
Ang isang claim ng isang kahinaan ng software sa isang programa na ginamit upang kumonekta nang ligtas sa mga server sa Internet ay malamang na isang panloloko, ayon sa SANS.