Nieuws

Apr 29, 2019
CVE-2019-2725

Samenvatting
Oracle heeft een lek gedicht voor een kwetsbaarheid in de WebLogic webserver. Deze kwetsbaarheid staat bekend als CVE-2019-2725 en heeft een CVSS score van 9.8. De kwetsbaarheid maakt het mogelijk om op afstand kwaadaardige code uit te voeren zonder enige vorm van authenticatie. Het dichten van het lek kan middels het uitvoeren van de stappen in MyOracleSupport note 2535708.1.

Probleemstelling
Het succesvol uitbuiten van deze kwetsbaarheid maakt het voor mogeljik om kwaadaardige code op afstand uit te voeren binnen de Oracle Webserver. Afhankelijk van de rechten die de Webserver heeft is het mogelijk dat een aanvaller programma's installeert, data kan inzien, wijzigen of mogelijk zelfs verwijderen.

Geraakte versies
Deze kwetsbaarheid zit in alle versies van de Oracle WebLogic.

Actieplan
Er zijn twee workarounds en een aantal patches beschikbaar om deze kwetsbaarheid op te lossen:

1. Verwijder de WLS9_ASYNC en WLS-WSAT componenten uit de WebLogic stack en herstart de WebLogic servers. of
2. Pas de toegang tot de URL paden aan waarin een referentie zit naar /_async/* en /wls-wsat/*.

Er zijn ook een aantal patches beschikbaar die de kwetsbaarheid oplossen. Afhankelijk van de versie van WebLogic kunnen dit een aantal patches zijn. MyOracleSupport note 2535708.1 geeft verder uitsluitsel.

Vragen
Mocht u vragen hebben dan kunt u ons altijd bellen op 055 5260670 en vragen naar de Security Officer.

Help us share this
Share Share Share Share Share