Pour gérer vos consentements :
Categories: Sécurité

Oracle publie un correctif d’urgence pour WebLogic Server

Oracle a publié dimanche une mise à jour de sécurité hors cycle pour Oracle WebLogic Server. Le nouveau patch corrige une vulnérabilité critique (CVE-2020-14750) d’exécution de code à distance (RCE – remote code execution).

Oracle WebLogic Server est une plateforme unifiée de développement, déploiement et exécution d’applications d’entreprise, dont Java, sur site et dans le cloud.

Les versions affectées du serveur d’applications sont les suivantes : versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.

Un premier correctif tronqué

Le mois dernier, dans le cadre de son « Critical Patch Update » d’octobre 2020, Oracle a mis à disposition des utilisateurs de WebLogic Server un premier correctif lié à la faille CVE-2020-14882. Celle-ci peut être exploitée par un attaquant, sans authentification.

« Des codes d’attaque ont été publiés le lendemain et des rapports publiés en source ouverte font état de campagne d’attaques », a relevé le CERT-FR.

Dans ce contexte, Oracle a émis une alerte de sécurité le 1er novembre pour signaler que ce premier correctif ne corrige pas complétement la vulnérabilité d’exécution de code arbitraire à distance. Le nouveau patch est conçu pour combler les manquements.

L’éditeur logiciel de Redwood City (Californie) a prévenu :

« En raison de la gravité de cette vulnérabilité et de la publication sur divers sites de codes pour l’exploiter, Oracle recommande vivement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. »

À défaut, il est recommandé de désactiver temporairement la console WebLogic.

(crédit photo de une © Shutterstock)

Recent Posts

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

3 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

5 heures ago

Salaires IT : à qui profite le dégel des rémunérations ?

La part des cadres de la fonction informatique qui bénéficient d'une hausse de rémunération retrouve…

6 heures ago

Quels standards pour la cryptographie post-quantique ?

À l'issue d'une procédure de six ans, le NIST a sélectionné quatre algorithmes à standardiser…

7 heures ago

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

12 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

1 jour ago