Oracle запуши нови дупки в Apache Struts
Oracle разгласява пакет с обновления за набор от своите артикули, включително и за проблематичния уеб фреймуърк Apache Struts 2 .
Платформата към този момент получи тази година кръпки за две уязвимости – през март и още веднъж този месец. Първата от двете уязвимости е била експлоатирана сполучливо от незнайна страна към кредитната компания Equifax , при което данните на над 140 000 000 американци станаха притежание на хакерите . Въпросният пробив е бил сбъднат през лятото, а админите на уеб страницата се оказа, че не са наложили навреме обновлението. Следващата накърнимост – тази от септември – с изключение на обновяване, получи и PoC (proof-of-concept) код, валидиращ съществуването ѝ. Това евентуално е помогнало на нарушители в Интернет, които часове по-късно са почнали да пробват всеобщо да я експлоатират. Уязвимостта визира голям брой артикули на Oracle, които имат взаимозависимост към Struts (тук се включват MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel , WebLogic Server , артикули, употребявани от банковия и комерсиалния сектор), а след разкриването ѝ, експерти споделиха, че експлоатирането ѝ е учудващи елементарно и чакат опити за офанзиви към нея – нещо, което се е и случило. Компанията адресира още няколко казуса в платформата, сред които CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804 и CVE-2017-12611.
В обява в блога на компанията, Oracle предложи допустимо най-бързо налагането на въпросните обновления. Компанията подсети на тези, които не са наложили юлския пакет с обновления да го създадат. Следващият пакет с кръпки ще бъде публикуван идващия месец.
Платформата към този момент получи тази година кръпки за две уязвимости – през март и още веднъж този месец. Първата от двете уязвимости е била експлоатирана сполучливо от незнайна страна към кредитната компания Equifax , при което данните на над 140 000 000 американци станаха притежание на хакерите . Въпросният пробив е бил сбъднат през лятото, а админите на уеб страницата се оказа, че не са наложили навреме обновлението. Следващата накърнимост – тази от септември – с изключение на обновяване, получи и PoC (proof-of-concept) код, валидиращ съществуването ѝ. Това евентуално е помогнало на нарушители в Интернет, които часове по-късно са почнали да пробват всеобщо да я експлоатират. Уязвимостта визира голям брой артикули на Oracle, които имат взаимозависимост към Struts (тук се включват MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel , WebLogic Server , артикули, употребявани от банковия и комерсиалния сектор), а след разкриването ѝ, експерти споделиха, че експлоатирането ѝ е учудващи елементарно и чакат опити за офанзиви към нея – нещо, което се е и случило. Компанията адресира още няколко казуса в платформата, сред които CVE-2017-7672, CVE-2017-9787, CVE-2017-9791, CVE-2017-9793, CVE-2017-9804 и CVE-2017-12611.
В обява в блога на компанията, Oracle предложи допустимо най-бързо налагането на въпросните обновления. Компанията подсети на тези, които не са наложили юлския пакет с обновления да го създадат. Следващият пакет с кръпки ще бъде публикуван идващия месец.
Източник: kaldata.com
КОМЕНТАРИ