在俄羅斯一位安全人員發(fā)布了這個安全漏洞的細(xì)節(jié)兩個星期之后,甲骨文急忙發(fā)布了一個補丁修復(fù)其WebLogic應(yīng)用服務(wù)器軟件中的安全漏洞。
甲骨文說,這個安全漏洞存在于WebLogic的節(jié)點管理器軟件中。一般來說,防火墻將封鎖這個軟件。然而,如果黑客能夠訪問節(jié)點管理器的管理端口,就會造成災(zāi)難性的后果。甲骨文在詳細(xì)介紹這個安全漏洞的博客中說,成功地利用這個安全漏洞會全面攻破Windows平臺上的目標(biāo)服務(wù)器。在其它平臺(Unix、Linux等)上,攻擊者能夠以WebLogic服務(wù)器進(jìn)程相同的權(quán)限訪問目標(biāo)服務(wù)器。
甲骨文在1月12日發(fā)布了最新的補丁。這一次發(fā)布補丁顯然是在安全公司Intevydis在1月23日公開這個安全漏洞細(xì)節(jié)之后不得不采取的行動。這家俄羅斯公司在1月份公布了十幾個安全漏洞的細(xì)節(jié),以便引起人們對于沒有修復(fù)的大量的服務(wù)器和數(shù)據(jù)庫安全漏洞的關(guān)注。
甲骨文發(fā)言人不愿意對這個安全補丁發(fā)表評論。甲骨文在安全警告中稱,它強烈建議盡快使用補丁修復(fù)這個安全漏洞。這個安全漏洞影響WebLogic 7和以上版本的軟件。
Intevydis首席執(zhí)行官Evgeny Legerov說,他的公司不遵守提前通知廠商安全漏洞信息的標(biāo)準(zhǔn)的行業(yè)做法,因為這將使廠商免費利用安全研究人員做質(zhì)量保證工作。
Legerov在星期五發(fā)表的電子郵件中證實,甲骨文沒有提前得到這個安全漏洞的通知。因為我們的資源非常有限,我們不是為甲骨文工作的,我們不采取負(fù)責(zé)任的披露路線。
他解釋說,這是一個嚴(yán)重的安全漏洞。遠(yuǎn)程攻擊者不用任何身份識別就可以執(zhí)行操作系統(tǒng)命令。
Copyright ©1999-2024 chinanews.com. All Rights Reserved