Oracle выпустила внеплановое обновление для WebLogic Server, которое увидело
свет почти через две недели после того, как глава российской фирмы Intevydis
Евгений Легеров опубликовал данные о критической уязвимости, обнаруженной им в
компоненте Node Manager.

Брешь
позволяет хакерам выполнять на сервере различные команды без
необходимости ввода имени пользователя и пароля.

Стоит отметить, что политика Oracle в области выхода обновлений безопасности
кардинально отличается от подхода той же Microsoft, поэтому случаи выпуска
подобных незапланированных патчей происходят крайне редко. Появление такой
заплатки сейчас – еще одно косвенное свидетельство серьезности обнаруженной
проблемы.

Публикуя

данные об уязвимости
, Легеров заявил о том, что возглавляемая им фирма
отказывается от практики “ответственного разглашения”, которая предполагает, что
исследователи в первую очередь ставят в известность о найденных брешах
разработчиков программного обеспечения, чтобы те смогли закрыть дыры до того,
как ими сумеют воспользоваться злоумышленники.

По словам эксперта, отказ от этого правила обусловлен тем, что разработчики
эксплуатируют ответственность “белых хакеров”, устраняя бреши и не выплачивая им
ни копейки.

В заключение отметим, что пропатченная уязвимость по десятибалльной шкале
CVSS для систем на базе ОС Windows с установленным WebLogic версий 9.0 и выше
получила максимальную оценку, а ее серьезность для прочих операционных систем
отмечена рейтингом 7,5. Авторы уведомления Oracle настоятельно рекомендуют
администраторам установить данный патч в кратчайшие сроки.

Оставить мнение