Categories: Sécurité

Oracle publie un correctif d’urgence pour WebLogic Server

Oracle a publié dimanche une mise à jour de sécurité hors cycle pour Oracle WebLogic Server. Le nouveau patch corrige une vulnérabilité critique (CVE-2020-14750) d’exécution de code à distance (RCE – remote code execution).

Oracle WebLogic Server est une plateforme unifiée de développement, déploiement et exécution d’applications d’entreprise, dont Java, sur site et dans le cloud.

Les versions affectées du serveur d’applications sont les suivantes : versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

Un premier correctif tronqué

Le mois dernier, dans le cadre de son « Critical Patch Update » d’octobre 2020, Oracle a mis à disposition des utilisateurs de WebLogic Server un premier correctif lié à la faille CVE-2020-14882. Celle-ci peut être exploitée par un attaquant, sans authentification.

« Des codes d’attaque ont été publiés le lendemain et des rapports publiés en source ouverte font état de campagne d’attaques », a relevé le CERT-FR.

Dans ce contexte, Oracle a émis une alerte de sécurité le 1er novembre pour signaler que ce premier correctif ne corrige pas complétement la vulnérabilité d’exécution de code arbitraire à distance. Le nouveau patch est conçu pour combler les manquements.

L’éditeur logiciel de Redwood City (Californie) a prévenu :

« En raison de la gravité de cette vulnérabilité et de la publication sur divers sites de codes pour l’exploiter, Oracle recommande vivement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. »

À défaut, il est recommandé de désactiver temporairement la console WebLogic.

(crédit photo de une © Shutterstock)

Recent Posts

Microsoft révise ses programmes de licence à l’aune du cloud

Microsoft permet désormais la vente de licences perpétuelles dans le cadre du programme Cloud Solution…

2 jours ago

Open hardware : Android porté sur RISC-V

Alibaba est parvenu à porter Android sur un processeur RISC-V maison, avec interface graphique et…

2 jours ago

Firefox sur Apple Silicon : dans les coulisses du portage

De Rust aux DRM, Mozilla revient sur quelques-uns des défis qu'a impliqués le portage de…

2 jours ago

DBaaS : Couchbase Cloud sur Azure, après AWS

Après Amazon Web Services, Azure. La base de données en tant que service de Couchbase…

2 jours ago

Zerologon : Microsoft prépare la phase deux de son plan correctif

Microsoft se prépare à ajuster le correctif qu'il diffuse depuis août dernier contre la faille…

3 jours ago

DSI : un fonctionnement en silos qui coûte cher

9 DSI sur 10 considèrent que la contribution des équipes IT à la création de…

3 jours ago