A Oracle fez a publicação extraordinária de um patch no último domingo, dia 1 de novembro de 2020, para corrigir uma falha grave (score 9.8) que está sendo explorada em seus servidores WebLogic, nas versões 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. A falha esta registrada como CVE CVE-2020-14750.
Segundo a empresa, a falha é uma vulnerabilidade que permite execução remota de código no servidor Oracle WebLogic. Ela está relacionada ao registro CVE-2020-14882, que foi corrigido na atualização crítica de outubro de 2020. O Alerta de Segurança da Oracle avisa que a falha “(…) é explorável remotamente sem autenticação, ou seja, pode ser explorada em uma rede sem a necessidade de um nome de usuário e senha. Devido à gravidade desta vulnerabilidade e à publicação de código de exploração em vários sites, a Oracle recomenda enfaticamente que os clientes apliquem as atualizações fornecidas por este Alerta de Segurança o mais rápido possível”.
Veja isso
Veja a lista de 433 patches que a Oracle publica nesta terça
Patch tuesday da Microsoft corrige 8 vulnerabilidades, 21 RCEs
Neste momento, já existem pelo menos cinco provas de conceito para exploração da falha publicadas no site de controle de versões GitHub.
A Oracle alerta para o fato de que os patches lançados por meio do alerta são fornecidos apenas para versões do produto cobertas pelas fases de Suporte Premier ou Suporte estendido da Política de suporte vitalício: “A Oracle recomenda que os clientes planejem atualizações de produtos para garantir que os patches lançados por meio do programa Alerta de Segurança estejam disponíveis para as versões em execução no momento”.
O comunidado acrescenta que “os lançamentos de produtos que não estão no Premier Support ou Extended Support não foram testados quanto à presença de vulnerabilidades abordadas por este Alerta de Segurança. No entanto, é provável que as versões anteriores das versões afetadas também contenham essas vulnerabilidades. Como resultado, a Oracle recomenda que os clientes atualizem para as versões suportadas”.
Com agências internacionais