在俄罗斯一位安全人员发布了这个安全漏洞的细节两个星期之后,甲骨文急忙发布了一个补丁修复其WebLogic应用服务器软件中的安全漏洞。
甲骨文说,这个安全漏洞存在于WebLogic的节点管理器软件中。一般来说,防火墙将封锁这个软件。然而,如果黑客能够访问节点管理器的管理端口,就会造成灾难性的后果。甲骨文在详细介绍这个安全漏洞的博客中说,成功地利用这个安全漏洞会全面攻破Windows平台上的目标服务器。在其它平台(Unix、Linux等)上,攻击者能够以WebLogic服务器进程相同的权限访问目标服务器。
甲骨文在1月12日发布了最新的补丁。这一次发布补丁显然是在安全公司Intevydis在1月23日公开这个安全漏洞细节之后不得不采取的行动。这家俄罗斯公司在1月份公布了十几个安全漏洞的细节,以便引起人们对于没有修复的大量的服务器和数据库安全漏洞的关注。
甲骨文发言人不愿意对这个安全补丁发表评论。甲骨文在安全警告中称,它强烈建议尽快使用补丁修复这个安全漏洞。这个安全漏洞影响WebLogic 7和以上版本的软件。
Intevydis首席执行官Evgeny Legerov说,他的公司不遵守提前通知厂商安全漏洞信息的标准的行业做法,因为这将使厂商免费利用安全研究人员做质量保证工作。
Legerov在星期五发表的电子邮件中证实,甲骨文没有提前得到这个安全漏洞的通知。因为我们的资源非常有限,我们不是为甲骨文工作的,我们不采取负责任的披露路线。
他解释说,这是一个严重的安全漏洞。远程攻击者不用任何身份识别就可以执行操作系统命令。
|