Krytyczna luka w narzędziu Node Manager produktu WebLogic Server zmusiła firmę Oracle do naruszenia trzymiesięcznego cyklu aktualizacyjnego i opublikowania dodatkowej poprawki. Według informacji producenta usterka może zostać wykorzystana zdalnie do zdyskredytowania systemu bez konieczności logowania.

Jednak wszystko wskazuje na to, że łatwiej jest dokonać ataku na systemy Windows niż platformy uniksowe. Oracle określił bowiem wskaźnik ryzyka (CVSS) dla Windows na poziomie 10, a dla Uniksa zaledwie 7,5.
Wadliwe są następujące produkty:

• Oracle WebLogic Server 11gR1 (10.3.1 i 10.3.2)
  
• Oracle WebLogic Server 10gR3 10.3.0
  
• Oracle WebLogic Server 10.0 do MP2
  
• Oracle WebLogic Server 9.0, 9.1, 9.2 do MP3
  
• Oracle WebLogic Server 8.1 do SP6
  
• Oracle WebLogic Server 7.0 do SP7
  

Oracle zaleca niezwłoczną instalację poprawki. W połowie stycznia firma zamknęła łącznie 24 luki, z czego wiele występowało w WebLogic Serverze. Ponadto w połowie tygodnia poinformowano o słabym punkcie w Oracle 11gR2, który pozwala dowolnemu użytkownikowi uzyskać uprawnienia systemowe. Dla tej usterki nie przygotowano jeszcze łaty.

Zobacz także

• Oracle Security Alert for CVE-2010-0073, raport o błędach
• Luka w systemie bazodanowym Oracle 11gR2 daje każdemu przywileje systemowe, heise Security

(kso)