crédit photo © Sashkin - shutterstock
Oracle a publié dimanche une mise à jour de sécurité hors cycle pour Oracle WebLogic Server. Le nouveau patch corrige une vulnérabilité critique (CVE-2020-14750) d’exécution de code à distance (RCE – remote code execution).
Oracle WebLogic Server est une plateforme unifiée de développement, déploiement et exécution d’applications d’entreprise, dont Java, sur site et dans le cloud.
Les versions affectées du serveur d’applications sont les suivantes : versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0.
Le mois dernier, dans le cadre de son « Critical Patch Update » d’octobre 2020, Oracle a mis à disposition des utilisateurs de WebLogic Server un premier correctif lié à la faille CVE-2020-14882. Celle-ci peut être exploitée par un attaquant, sans authentification.
« Des codes d’attaque ont été publiés le lendemain et des rapports publiés en source ouverte font état de campagne d’attaques », a relevé le CERT-FR.
Dans ce contexte, Oracle a émis une alerte de sécurité le 1er novembre pour signaler que ce premier correctif ne corrige pas complétement la vulnérabilité d’exécution de code arbitraire à distance. Le nouveau patch est conçu pour combler les manquements.
L’éditeur logiciel de Redwood City (Californie) a prévenu :
« En raison de la gravité de cette vulnérabilité et de la publication sur divers sites de codes pour l’exploiter, Oracle recommande vivement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible. »
À défaut, il est recommandé de désactiver temporairement la console WebLogic.
(crédit photo de une © Shutterstock)
Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…
Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…
La part des cadres de la fonction informatique qui bénéficient d'une hausse de rémunération retrouve…
À l'issue d'une procédure de six ans, le NIST a sélectionné quatre algorithmes à standardiser…
Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…
Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…