Во вторник компания Oracle выпустила ежеквартальное обновление Critical Patch Update за июль 2021 года, содержащее 342 исправления уязвимостей и багов различных продуктов, некоторые из упомянутых уязвимостей могут быть использованы злоумышленниками удаленно для получения контроля над затронутой системой.
Главной из них является CVE-2019-2729, критическая уязвимость десериализации через XMLDecoder в Oracle WebLogic Server Web Services, которая может быть удаленно использована без аутентификации. Стоит отметить, что первоначально уязвимость была устранена в рамках внепланового обновления безопасности в июне 2019 года.
Oracle WebLogic Server - это сервер приложений, который функционирует как платформа для разработки, развертывания и запуска корпоративных приложений на базе Java.
Дефект, получивший рейтинг 9,8 из максимальных 10 по шкале критичности CVSS, затрагивает WebLogic Server версий 11.1.2.4 и 11.2.5.0 и существует в Oracle Hyperion Infrastructure Technology.
Также в WebLogic Server исправлено шесть других дефектов, трем из которых присвоена оценка по шкале CVSS 9,8 из 10 – это:
- CVE-2021-2394 (рейтинг CVSS: 9.8)
- CVE-2021-2397 (рейтинг CVSS: 9.8)
- CVE-2021-2382 (рейтинг CVSS: 9.8)
- CVE-2021-2378 (рейтинг CVSS: 7.5)
- CVE-2021-2376 (рейтинг CVSS: 7.5)
- CVE-2021-2403 (рейтинг CVSS: 5.3)
Это далеко не первый случай обнаружения критических проблем в WebLogic Server. Ранее в этом году Oracle выпустила апрельский патч 2021 с исправлениями для двух ошибок (CVE-2021-2135 и CVE-2021-2136), среди прочих, которыми можно было злоупотребить для выполнения произвольного кода.
Клиентам Oracle рекомендуется оперативно применить обновления чтобы защитить системы от потенциальной атаки.
Источник: https://thehackernews.com
Фото: Peter Kaminski
