Por primera vez en los últimos tres años, Oracle liberó un parte de seguridad y patch fuera de su lote habitual.
La vulnerabilidad podría ser explotada remotamente por un atacante sin necesidad de autenticación y podría dejar al servidor WebLogic a merced de los hackers.
La vulnerabilidad fue publicada por quien la descubrió sin antes comunicarla a Oracle. Así lo explicó Eric Maurice, gerente de seguridad de la unidad de tecnología global de Oracle. “Esto quiere decir que la vulnerabilidad se hizo pública antes de que Oracle tenga oportunidad de desarrollar el arreglo adecuado para este problema y notificar a sus clientes,” agrega Maurice.
En el último parte trimestral de actualización de seguridad CPU (Critical Patch Update) de Oracle, se incluyó el primer patch para BEA WebLogic, adquirida por Oracle a principios de este año. Cabe destacar que BEA solía emitir alertas de seguridad en forma imprevista o no planificada.
Los observadores no consideran que esta brecha sea más severa o grave que otras presentadas anteriormente. En el repositorio de alertas de BEA , hay 30 alertas emitidas durante lo que va del 2008.
La brecha afecta a los servidores de aplicaciones BEA WebLogic que usan un plug-in para Apache, frecuentemente instalados junto a WebLogic. Oracle informó que los servidores Apache, configurados con el módulo mod-security, están protegidos de esta vulnerabilidad mediante el conjunto de reglas por defecto.
Este vector intenta inyectar grandes volúmenes de datos en la versión del protocolo HTTP de un requerimiento Web. Se puede identificar y bloquear usando la aplicación firewall open source Web ModSecurity del módulo Apache.
ModSecurity puede ser compilada directamente en el servidor WebLogic. Esta solución es recomendada por Oracle/BEA como maniobra dado que no existe un patch y prueba de concepto de código disponible y publicada en Internet.
Fuente: antivirusgratis.com.ar
Agregalo como Favorito
Compartir
Enviar email
Hits: 1105
Comentarios (0)
RSS Comentarios
Escribir comentario
| < Prev | Próximo > |
|---|
