EN
EN

Oracle WebLogic İçin Acil Bir Yama Yayınladı


Oracle, WebLogic Server ’da yeni keşfedilen kritik bir güvenlik açığını düzeltmek için güncelleme planlı dışı bir acil durum yazılımı güncellemesi yayınladı.

Oracle, bu güvenlik açığını kimliği belirsiz bir grup siber saldırgan tarafından kullanıldığı görüşünde. Zafiyet CVE-2019-2729 olarak tanımlanabilir ve CVSS skoru 10 üzerinden 9,8'dir.  

Oracle WebLogic, işletmelerin hem bulut ortamında hem de geleneksel ortamlarda popüler olan bulut üzerinde yeni ürünleri ve hizmetleri hızla dağıtmalarına olanak veren, Java tabanlı çok katmanlı bir kurumsal uygulama sunucusudur.

Zafiyet, Oracle WebLogic Server Web Servisinde bulunan XMLDecoder aracılığıyla kullanılmaktadır. Yetkisiz saldırganlar hedeflenen sunucularda uzaktan rastgale kod yürüterek sunucuların kontrolünü ele geçirmektedir. Oracle danışmanlarınca yapılan açıklamada "Bu uzaktan kod yürütme güvenlik açığı, kimlik doğrulaması olmadan uzaktan kullanılabilir, yani bir kullanıcı adı ve parola gerekmeden bir ağ üzerinden yararlanılabilir." denildi. Şirket bahse konu zafiyetin, Oracle WebLogic Server'daki önceden bilinen bir seri kaldırma güvenlik açığı (CVE-2019-2725) ile ilgili olduğunu fakat farklı bir güvenlik açığı olduğunu açıkladı. Bir grup kişi ve kuruluş tarafından bağımsız olarak rapor edilen yeni güvenlik açığı, 10.3.6.0.0, 12.1.3.0.0 ve 12.2.1.3.0 sürümlerinde Oracle WebLogic Server'ı etkilediği belirtildi.

Bu güvenlik açığının ciddiyeti nedeniyle, şirket etkilenen kullanıcılara ve şirketlere mümkün olan en kısa sürede mevcut güvenlik güncellemelerini yüklemelerini tavsiye etti. WebLogic Server müşterileri, etkilenen sürümler ve gerekli düzeltme eklerinin nasıl elde edileceği hakkında bilgi için Güvenlik Uyarısı Danışmanlığına başvurmalıdır.