image

Onderzoekers waarschuwen voor ernstig lek in Oracle WebLogic

maandag 30 april 2018, 12:22 door Redactie, 7 reacties

Onderzoekers waarschuwen voor een ernstig beveiligingslek in Oracle WebLogic waar nog geen patch voor beschikbaar is. Twee weken geleden kwam Oracle met updates voor 254 kwetsbaarheden. Eén van de updates was voor een ernstig lek in WebLogic waardoor een aanvaller het systeem kan overnemen.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid werd die met een 9,8 beoordeeld. De update van Oracle is echter niet afdoende en kan worden omzeild, zo meldt een onderzoeker van Alibaba. Zodoende zijn systemen zelfs met de update nog steeds kwetsbaar. Kort na het uitkomen van de Oracle-update op 17 april verscheen er een proof-of-concept exploit om kwetsbare systemen aan te vallen. Dit leidde tot een toename van het aantal scans naar kwetsbare systemen, hoewel er nog geen "opportunistische aanvallen" zijn waargenomen, zo laat securitybedrijf GreyNoise weten.

Onderzoeker Kevin Beaumont adviseert beheerders om inkomend verkeer op tcp-poort 7001 te blokkeren, om zo aanvallers te stoppen. Begin dit jaar werd er nog gewaarschuwd voor een campagne waarbij aanvallers op Oracle WebLogic-servers een Monero-cryptominer installeerden. Dit gebeurde via een lek dat Oracle vorig jaar oktober patchte. Of Oracle met een tussentijdse oplossing voor het nu ontdekte probleem komt is onbekend. Het softwarebedrijf brengt updates eens per kwartaal uit. De volgende patchronde staat gepland voor 17 juli.

Reacties (7)
30-04-2018, 12:44 door Krakatau
Dit soort geknoei verklaart waarschijnlijk mede het kleine marktaandeel van Oracle WebLogic.

https://plumbr.io/blog/java/most-popular-java-application-servers-2017-edition
30-04-2018, 13:01 door Anoniem
Door Krakatau: Dit soort geknoei verklaart waarschijnlijk mede het kleine marktaandeel van Oracle WebLogic.

https://plumbr.io/blog/java/most-popular-java-application-servers-2017-edition

Denk eerder dat dit te maken heeft met de hoge kosten...
En als je dan erbij optelt dat upgrades ook geld kosten, of in een peperduur contract zitten, dan snap je wel waarom dat marktaandeel zo klein is, zat alternatieven die goedkoper zijn en upgrades gratis aanbieden, vanwege security.
30-04-2018, 15:26 door karma4
Het is maar net welk geddelte van de markt je hebt.
Het aantal servers/machines op zich is niet interessant.
https://www.google.nl/amp/s/webspherecompetition.wordpress.com/2015/04/29/gartner-middleware-market-share-report-shows-ibm-as-1-for-14th-year-in-a-row/amp/

Heb je de markt van grote kapitaalkrachtige bedrijven met de grote datatstromen dan is dat lucratiever dam het gratis en voor niets wat op goedkope doosjes gezet wordt.
IBM en Oracle hebben toegang tot de boardrooms van grote bedrijven en een voorkeursbehandeling.
Ooit meegemaakt (grote organisatie) tomcat verboden want niet schaalbaar nog beheersbaar. Het moest IBM worden .... intussen wordt de service van 3-party als appliance en in the cloud aangeboden. De interne ICT en de interne richtlijnen worden op een zijspoor gezet. De business vind dat prima.
30-04-2018, 15:34 door Anoniem
Ysoserieus, het is niet de eerste keer dat er een deserialize bug in Oracle applicaties wordt gevonden. Oracle zou er ook eens op kunnen letten tijdens de ontwikkeling maar dat kost moeite. Wel weer een leuk zakcentje als je het bij ZDI meld.
30-04-2018, 18:10 door Anoniem
Door Krakatau: Dit soort geknoei verklaart waarschijnlijk mede het kleine marktaandeel van Oracle WebLogic.

https://plumbr.io/blog/java/most-popular-java-application-servers-2017-edition
Maar gelukkig wel in Java geprogrammeerd.... Toch....

Nadeel dit soort applicaties draaien vaak bij grote bedrijven...... En kan dus grote gevolgen hebben.
En 1 site is genoeg.....

Was het grootste data lek ook niet uit een Java applicatie?
30-04-2018, 19:36 door Anoniem
ja als dit nu niet een indicator is dat dat java geen fatsoenlijke programmeer taal is dat niet door echte profesionals gebruikt wordt... karma-esque :P.
01-05-2018, 09:26 door Krakatau - Bijgewerkt: 01-05-2018, 09:35
Door Anoniem: ja als dit nu niet een indicator is dat dat java geen fatsoenlijke programmeer taal is dat niet door echte profesionals gebruikt wordt... karma-esque :P.

Tja, daarvoor heb je geen argumenten want feitelijk is Java een professioneel ontworpen, robuuste en veilige programmeertaal. Daarom wordt het ook zoveel gebruikt door grote bedrijven en instanties, voor professionele toepassingen, met hoge eisen. WebLogic is maar één uit een schier eindeloze lijst van software in Java.

Java heeft zich allang bewezen als professionele programmeertaal en daar doet dit probleem of die discussie rond de onveiligheid van de Java browserplug-in niets aan af. Die laatste is trouwens al lang uitgefaseerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.