KTĐT - Hai tuần sau khi một nhà nghiên cứu bảo mật công bố chi tiết về lỗ hổng trong máy chủ ứng dụng WebLogic, Oracle đã khẩn cấp tìm cách đưa ra miếng vá.
Lỗ hổng nằm trong phần mềm Node Manager của WebLogic. Nếu tin tặc có thể truy cập cổng quản trị của Node Manager thì hậu quả sẽ rất nghiêm trọng. Oracle cho biết, nếu khai thác thành công, tin tặc có thể làm thương tổn toàn diện máy chủ Windows bị nhắm vào. Trên những nền tảng khác (Unix, Linux,...), tin tặc có thể truy cập máy chủ bị nhắm vào với cùng quyền ưu tiên giống như các tiến trình máy chủ WebLogic.
Người phát ngôn của Oracle từ chối bình luận về miếng vá. Oracle khuyến nghị những người đang sử dụng các phiên bản WebLogic từ 7 trở về sau nên chạy miếng vá ngay khi có thể.
Lô miếng vá bảo mật gần đây nhất được Oracle tung ra hôm 12/1/2010 nhưng Oracle đã phải khẩn cấp tìm cách đưa ra miếng vá WebLogic sau khi công ty bảo mật Intevydis của Nga đã công bố thông tin chi tiết về lỗ hổng trong máy chủ ứng dụng này hôm 23/1/2010. CEO Evgeny Legerov cho biết, Intevydis đã tiết lộ thông tin trước khi báo cho Oracle vì muốn thu hút sự chú ý đến số lớn những lỗ hổng CSDL và máy chủ vẫn đang chưa được vá.
Ông Legerov đánh giá, đây là lỗi cực nghiêm trọng, cho phép tin tặc có thể thực hiện từ xa các lệnh HĐH mà không phải qua bất cứ sự thẩm định quyền nào.
