Хакер #305. Многошаговые SQL-инъекции
В конце прошлой недели эксперты китайской компании KnownSec 404, стоящей за разработкой IoT-поисковика ZoomEye, обнаружили опасную проблему в Oracle WebLogic.
Баг представлял угрозу для любых серверов Oracle WebLogic с запущенными компонентами WLS9_ASYNC и WLS-WSAT. Первый компонент нужен для выполнения асинхронных операций, а второй является защитным решением. Уязвимость связана с десериализацией и позволяет удаленному атакующему добиться выполнения любых команд без авторизации (с помощью специального HTTP-запроса).
Ситуация осложнялась тем, что проблему уже использовали злоумышленники. Но Oracle выпустила ежеквартальный набор исправлений для своих продуктов совсем недавно, и специалисты полагали, что патч для 0-day уязвимости появится только в июле 2019 года, в составе следующего ежеквартального набора обновлений.
К счастью, на этот раз эксперты ошиблись. Oracle пошла на нехарактерный для себя шаг, и выпустила экстренный, внеплановый патч для этой проблемы. Уязвимости был присвоен идентификатор CVE-2019-2725, и она набрала 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Из-за высокой серьезности проблемы разработчики призывают пользователей установить обновление как можно скорее.