Oracle WebLogic Serverda yana bir deserializatsiya zaifligi tuzatildi.
Ruxsat etilgan CVE-2019-2725 zaifligi yana CVE-2019-2729 xatosi sifatida qaytdi.
Bu hafta Oracle WebLogic Serverda masofaviy kodni bajarishga imkon beruvchi va hujumlarda keng qo’llaniladigan seriyani yo’qotish zaifligini tuzatdi. CVE-2019-2729 sifatida aniqlangan muammo CVE-2019-2725 dublikati bo‘lib, aprel oyida tuzatilgan va avvalroq Sodinokibi to‘lov dasturi va kriptovalyuta konchilarni tarqatishda foydalanilgan. Oracle maslahatiga ko’ra, zaiflikdan ruxsatsiz foydalanish mumkin. Muammo WebLogic Server 10.3.6.0.0, 12.1.3.0.0 va 12.2.1.3.0 versiyalariga ta’sir qiladi. Zaiflikning jiddiylik darajasi 10 balldan 9,8 ballni tashkil qiladi.
Muammo KnownSec kompaniyasining 404 jamoasi mutaxassislari tomonidan aniqlangan. Ularga ko’ra, CVE-2019-2729 zaifligi CVE-2019-2725 uchun yamoqni chetlab o’tishga tayanadi.
Zaiflik «wls9_async» va «wls-wsat» komponentlari bilan bog’liq. Agar biron-bir sababga ko’ra yamoqni o’rnatish imkoni bo’lmasa, foydalanuvchilar ularni o’chirib tashlashi va keyin WebLogic serverini qayta ishga tushirishi yoki «/_async/*» va «/wls-wsat/*» kataloglariga URL kirishini cheklovchi siyosatlarni qo’llashi mumkin.
ZoomEye maʼlumotlariga koʻra, 2019-yilda 42 000 ga yaqin Oracle WebLogic Server oʻrnatishlari oʻrnatildi. Shodan 2300 ta server onlayn ekanligini koʻrsatadi. Ushbu serverlarning aksariyati Xitoy va AQShda joylashgan.
