image

Oracle waarschuwt voor actief aangevallen lek in WebLogic Server

vrijdag 1 mei 2020, 09:57 door Redactie, 16 reacties

Een ernstig beveiligingslek in Oracle WebLogic Server dat op 14 april werd gepatcht wordt inmiddels actief aangevallen, zo waarschuwt het softwarebedrijf. Bedrijven worden dan ook door Oracle opgeroepen om de beschikbare beveiligingsupdate meteen te installeren.

Het beveiligingslek in Oracle WebLogic Server geeft een aanvaller op afstand volledige controle over de server. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Daarnaast is het beveiligingslek volgens Oracle eenvoudig te misbruiken. De kwetsbaarheid werd door vijf verschillende onderzoekers aan Oracle gerapporteerd.

Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. Zo zijn kwetsbaarheden in WebLogic soms al een paar uur na het uitkomen van een patch aangevallen. Aanvallers gebruikten kwetsbare servers in het verleden voor cryptomining of het installeren van ransomware.

Ondanks de noodzaak om Oracle-updates tijdig te installeren waarschuwt het softwarebedrijf bij elke patchronde dat het berichten ontvangt van klanten die zijn aangevallen omdat ze beschikbare beveiligingsupdates niet hadden geïnstalleerd. Gezien de nu waargenomen aanvallen op Oracle WebLogic Server is het bedrijf daarom met een aparte waarschuwing gekomen.

Reacties (16)
01-05-2020, 10:07 door Anoniem
Ondanks de noodzaak om Oracle-updates tijdig te installeren waarschuwt het softwarebedrijf bij elke patchronde dat het berichten ontvangt van klanten die zijn aangevallen omdat ze beschikbare beveiligingsupdates niet hadden geïnstalleerd.
Maar wel brengen ze iedere keer weer versies uit die dan even later totaal lek blijken te zijn en WEER moeten worden vervangen.
Beetje kansloos bedrijf dit. Het lijkt Adobe wel.
01-05-2020, 10:54 door karma4
Door Anoniem:
Maar wel brengen ze iedere keer weer versies uit die dan even later totaal lek blijken te zijn en WEER moeten worden vervangen. Beetje kansloos bedrijf dit. Het lijkt Adobe wel.
Kun je van elke softwareontwikkelaar zeggen. OSS is daarbij geen uitzondering. Kijk onder de motorkap hier en je zult veel OSS onderdelen tegenkomen.
01-05-2020, 11:40 door The FOSS
Door karma4:
Door Anoniem:
Maar wel brengen ze iedere keer weer versies uit die dan even later totaal lek blijken te zijn en WEER moeten worden vervangen. Beetje kansloos bedrijf dit. Het lijkt Adobe wel.
Kun je van elke softwareontwikkelaar zeggen. OSS is daarbij geen uitzondering.

OSS? Hoe kom je nou bij OSS? Oracle Weblogic Server is closed source.

Door karma4: Kijk onder de motorkap hier en je zult veel OSS onderdelen tegenkomen.

Kan niet want Oracle Weblogic Server is closed source en dat is natuurlijk het hele probleem.
01-05-2020, 12:49 door Anoniem
E-bussiness server mastering of 334 security holes. Geen business -lek als een zeef. Grafisch developer gezocht. Wow.
luntrus
01-05-2020, 14:19 door Anoniem
@The Foss,

Juist en dan is het ook nog eens "loony tunes unbeakable" source.
Je hoeft dus nu slechts te kijken naar de last-modified datum.
Last-Modified: Mon, 24 Jun 2019 11:20:21 GMT, zoals bij een Nederlandse server.

Helemaal jammer dus voor deze versie in Mumbai:
Server: BEA WebLogic Server 7.0 SP4 Tue Aug 12 11:22:26 PDT 2003
Geen veilig ts3 protocol (via een weblink).

Neen we noemen geen namen, maar onveiligheid genoeg overal.

#sockpuppet
01-05-2020, 14:32 door souplost
Door karma4:
Door Anoniem:
Maar wel brengen ze iedere keer weer versies uit die dan even later totaal lek blijken te zijn en WEER moeten worden vervangen. Beetje kansloos bedrijf dit. Het lijkt Adobe wel.
Kun je van elke softwareontwikkelaar zeggen. OSS is daarbij geen uitzondering. Kijk onder de motorkap hier en je zult veel OSS onderdelen tegenkomen.
Kan niet want dan zou het een GPL violation zijn of toch weer die karma leugen fabriek?
01-05-2020, 14:36 door souplost
Door Anoniem: @The Foss,

Juist en dan is het ook nog eens "loony tunes unbeakable" source.
Je hoeft dus nu slechts te kijken naar de last-modified datum.
Last-Modified: Mon, 24 Jun 2019 11:20:21 GMT, zoals bij een Nederlandse server.

Helemaal jammer dus voor deze versie in Mumbai:
Server: BEA WebLogic Server 7.0 SP4 Tue Aug 12 11:22:26 PDT 2003
Geen veilig ts3 protocol (via een weblink).

Neen we noemen geen namen, maar onveiligheid genoeg overal.

#sockpuppet
En waarom zouden gemeentes hier mee door blijven gaan ipv. Apache/Tomcat/postgresql of desnoods jboss etc ?
01-05-2020, 15:00 door karma4 - Bijgewerkt: 01-05-2020, 15:01
Door souplost:Kan niet want dan zou het een GPL violation zijn of toch weer die karma leugen fabriek?
De leugenfabriek van open source evangelisten is duidelijk. Gewoon even de docs nalopen
https://docs.oracle.com/en/middleware/fusion-middleware/12.2.1.3/wlsig/installing-weblogic-server-developers.html#GUID-4158FE29-7B9F-4440-AB03-693B39C6FBED Jersey Jackson Maven worden zo genoemd. Dat is nog maar het topje want je zit niet alles. Duik eens in dat soort commerciële installaties zonder oogkleppen.
https://www.oracle.com/middleware/weblogic/ Cern betaalt aan Oracle voor weblogic…
Nee het is geen overtreding van GPL want producten opgebouwd met OSS componenten hoeven niet aan de GPL te voldoen. Het past het component niet aan het gebruikt het. Lees de GPL maar.
01-05-2020, 15:18 door The FOSS
Door karma4:
Door souplost:Kan niet want dan zou het een GPL violation zijn of toch weer die karma leugen fabriek?
De leugenfabriek van open source evangelisten is duidelijk.

NOGMAALS: Oracle Weblogic is closed source software!
01-05-2020, 15:42 door karma4
Door The FOSS: NOGMAALS: Oracle Weblogic is closed source software!
Kan je blijven roepen zie echter de link van oracle zelf. Je spreekt je zelf behoorlijk tegen. Bekend is dat de grote commerciëlen 90% van de open source code inbrengen. Dat verdienen ze ruimschoots terug in de verkoop bundeling met hun commerciële producten. Het verkooppraatje daarbij dat beveiliging niet nodig zou zijn is een bron van ellende.
01-05-2020, 16:20 door The FOSS - Bijgewerkt: 01-05-2020, 16:23
Door karma4:
Door The FOSS: NOGMAALS: Oracle Weblogic is closed source software!
Kan je blijven roepen zie echter de link van oracle zelf. Je spreekt je zelf behoorlijk tegen.

Daar staat: The development installation has two JAR files. Closed source dus. En ik ben niet met die link van Oracle gekomen - dat was jij - noch is de informatie op die pagina van mij. Dus hoe kan ik mezelf nou tegenspreken? Elementaire oorzaak-en-gevolg redeneringen zijn blijkbaar te hoog gegrepen voor jou.

Als je wilt aantonen dat Oracle Weblogic open source software zou zijn kom dan met een link naar de broncode ervan. Die kan je niet produceren dus ik herhaal wederom: Oracle Weblogic is closed source software!

Door karma4: Bekend is dat de grote commerciëlen 90% van de open source code inbrengen. Dat verdienen ze ruimschoots terug in de verkoop bundeling met hun commerciële producten. Het verkooppraatje daarbij dat beveiliging niet nodig zou zijn is een bron van ellende.

En? Dat wil nog niet zeggen dat Oracle Weblogic open source software is. Want dat is het dus NIET!
01-05-2020, 17:06 door souplost
Door karma4:
Door souplost:Kan niet want dan zou het een GPL violation zijn of toch weer die karma leugen fabriek?
De leugenfabriek van open source evangelisten is duidelijk. Gewoon even de docs nalopen
https://docs.oracle.com/en/middleware/fusion-middleware/12.2.1.3/wlsig/installing-weblogic-server-developers.html#GUID-4158FE29-7B9F-4440-AB03-693B39C6FBED Jersey Jackson Maven worden zo genoemd. Dat is nog maar het topje want je zit niet alles. Duik eens in dat soort commerciële installaties zonder oogkleppen.
https://www.oracle.com/middleware/weblogic/ Cern betaalt aan Oracle voor weblogic…
Nee het is geen overtreding van GPL want producten opgebouwd met OSS componenten hoeven niet aan de GPL te voldoen. Het past het component niet aan het gebruikt het. Lees de GPL maar.
Je zet je zelf weer voor aap. Jij linkt naar een ontwikkelomgeving (developers voor jou) dat is iets heel anders dan een product. Maven is een open-source repository manager. Het product is closed source. Wat is jouw agenda dat GPL software hiervoor moet boeten? GPL integreren in een closed source product is een GPL violation. BSD software mag wel.
Dan geef je Microsoft natuurlijk ook de schuld van de beroerde windows TCP/IP stack waarvoor ze verbouwde BSD software hebben gebruikt.
Gezien de kwaliteit denk ik eigenlijk dat Oracle MS software heeft gebundeld in het product, maar kan dat niet bewijzen want closed source.
01-05-2020, 17:29 door karma4
Door souplost:
Je zet je zelf weer voor aap. Jij linkt naar een ontwikkelomgeving (developers voor jou) dat is iets heel anders dan een product. Maven is een open-source repository manager....Gezien de kwaliteit denk ik eigenlijk dat Oracle MS software heeft gebundeld in het product, maar kan dat niet bewijzen want closed source.
https://nl.wikipedia.org/wiki/GNU_General_Public_License "Software die onder deze licentie wordt uitgegeven is vrij. Vaak wordt dit verkeerd geïnterpreteerd als gratis software, aangezien het Engelse woord voor vrij (free) ook gratis betekent. Met prijzen heeft de licentie echter weinig te maken: het gaat over rechten..."

https://www.gnu.org/licenses/gpl-faq.html, https://www.gnu.org/licenses/gpl-faq.html#GPLInProprietarySystem
Staat er letterlijk wat ik beweerd heb. advies: doe eens ervaring op in dat soort situaties:
"However, in many cases you can distribute the GPL-covered software alongside your proprietary system. To do this validly, you must make sure that the free and nonfree programs communicate at arms length, that they are not combined in a way that would make them effectively a single program.
The difference between this and “incorporating” the GPL-covered software is partly a matter of substance and partly form. The substantive part is this: if the two programs are combined so that they become effectively two parts of one program, then you can't treat them as two separate programs. So the GPL has to cover the whole thing.
If the two programs remain well separated, like the compiler and the kernel, or like an editor and a shell, then you can treat them as two separate programs—but you have to do it properly. The issue is simply one of form: how you describe what you are doing. Why do we care about this? Because we want to make sure the users clearly understand the free status of the GPL-covered software in the collection.
"
01-05-2020, 18:00 door souplost
Door karma4:
Door souplost:
Je zet je zelf weer voor aap. Jij linkt naar een ontwikkelomgeving (developers voor jou) dat is iets heel anders dan een product. Maven is een open-source repository manager....Gezien de kwaliteit denk ik eigenlijk dat Oracle MS software heeft gebundeld in het product, maar kan dat niet bewijzen want closed source.
https://nl.wikipedia.org/wiki/GNU_General_Public_License "Software die onder deze licentie wordt uitgegeven is vrij. Vaak wordt dit verkeerd geïnterpreteerd als gratis software, aangezien het Engelse woord voor vrij (free) ook gratis betekent. Met prijzen heeft de licentie echter weinig te maken: het gaat over rechten..."

https://www.gnu.org/licenses/gpl-faq.html, https://www.gnu.org/licenses/gpl-faq.html#GPLInProprietarySystem
Staat er letterlijk wat ik beweerd heb. advies: doe eens ervaring op in dat soort situaties:
"However, in many cases you can distribute the GPL-covered software alongside your proprietary system. To do this validly, you must make sure that the free and nonfree programs communicate at arms length, that they are not combined in a way that would make them effectively a single program.
The difference between this and “incorporating” the GPL-covered software is partly a matter of substance and partly form. The substantive part is this: if the two programs are combined so that they become effectively two parts of one program, then you can't treat them as two separate programs. So the GPL has to cover the whole thing.
If the two programs remain well separated, like the compiler and the kernel, or like an editor and a shell, then you can treat them as two separate programs—but you have to do it properly. The issue is simply one of form: how you describe what you are doing. Why do we care about this? Because we want to make sure the users clearly understand the free status of the GPL-covered software in the collection.
"
Er staat helemaal niet wat jij beweert. Wat jij beweert is een flagrante GPL schending. Er zit geen GPL software in de onderhavige closed source oracle applicatie. Tenzij jij kan aantonen dat het 2 verschillende programma's zijn, een compiler of een shell etc.
Dat kan jij niet. Zoals The FOSS al zei kom met een link naar de code.
02-05-2020, 08:59 door Anoniem
Door karma4: [links en citaten naar GPL]
Je verwijst naar de GPL terwijl de componenten die je noemt onder Apache- en Eclipse-licenties verspreid worden. Dat zijn licenties die combineren met propriëtaire code makkelijker maken dan de GPL. Als je naar de licentie van de developer-editie van Weblogic Server kijkt dan zie daarin uitdrukkelijk staan dat alle combinaties met open source-software die zelfs maar de schijn kunnen wekken dat Weblogic zelf open source zou kunnen zijn niet zijn toegestaan.

De licentie voor de productieversie van Weblogic Server staat niet online, en de broncode van Weblogic Server al evenmin. Het zijn betaalde licenties, ofwel gelimiteerd in capaciteit, ofwel gelimiteerd tot een specifieke versie en een specifiek IP-adres. Dat zijn restricties die bij open source niet kunnen. Weblogic Server zelf is overduidelijk propriëtair.

Je doet nogal wat aannames: dat open source-componenten in de ontwikkelaar-editie van een product impliceren dat het produkt open source is, en dat open source impliceert dat de gehanteerde licentie GPL is. Tegen die achtergrond vind ik dit wel een juweeltje:
advies: doe eens ervaring op in dat soort situaties
Als jouw ervaring op zulke vergaande misverstanden gebaseerd is dan zijn het waardeloze ervaringen die grote juridische risico's kunnen opleveren, Oracle is niet een partij die je graag tegenover je hebt in een conflict over licenties. Ik zou je dringend aanbevelen om a) licenties te lezen en te zorgen dat je ze begrijpt, en b) te zorgen dat je de juiste licenties leest en je niet baseert op licenties die helemaal niet gelden voor een product, of c) het over te laten aan iemand die de materie wel snapt en overziet en om niet te eigenwijs te zijn om de adviezen die dat oplevert op te volgen.
03-05-2020, 10:31 door The FOSS
Door Anoniem:
Door karma4:... advies: doe eens ervaring op in dat soort situaties ...
Als jouw ervaring op zulke vergaande misverstanden gebaseerd is dan zijn het waardeloze ervaringen die grote juridische risico's kunnen opleveren, ...

Ja, je zal maar zo iemand voor je hebben werken en op zijn adviezen afgaan. Dat kan nog een duur staartje krijgen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.