ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)

Messagede pierre » 29 Avr 2019, 10:04

ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Oracle WebLogic Server version 10.3.6.0.0
Oracle WebLogic Server version 12.1.3.0.0

Résumé
Le 21 avril 2019, l'équipe de chercheurs Knownsec 404 Team a annoncé avoir trouvé une vulnérabilité affectant toutes les versions d’Oracle Weblogic : https://medium.com/@knownseczoomeye/kno ... dd9a79ae93

Par une requête HTTP(S) spécialement forgée, un attaquant non authentifié pourrait exécuter du code arbitraire à distance. La vulnérabilité serait déclenchée lors de la dé-sérialisation de la requête dans les composants wls9_async_response.war et wls-wsat.war, qui sont installés par défaut. Le premier composant permet la gestion d'opérations asynchrones par le serveur tandis que le second est un module de gestion de la sécurité.

Aucun correctif n’est disponible pour l’instant et Oracle n’a pas communiqué sur le sujet. Le CERT-FR n'a pu vérifier l’existence de ces vulnérabilités et n'a pas identifié de code d'exploitation sur Internet. De nombreux scans sur les urls vulnérables ont néanmoins été identifiés.

Selon le chercheur, cette vulnérabilité n’a pas encore été exploitée pour exécuter des charges malveillantes.

Contournement provisoire
En attendant la sortie d’un correctif de la part d’Oracle, une évaluation des risques doit être conduite pour envisager les actions suivantes :

Bloquer l’accès aux chemins contenant les motifs /_async/* et /wls-wsat/* ;
Supprimer les fichiers wls9_async_response.war et wls-wsat.war, puis redémarrer le service.

26 avril 2019 : version initiale

29 avril 2019 : Ajout du bulletin de sécurité Oracle cve-2019-2725 du 26 avril 2019

03 mai 2019 : Modification des versions vulnérables par Oracle le 30 avril 2019.

17 mai 2019 : Passage de la mesure de contournement dans la section Solution.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26262
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)

Messagede pierre » 01 Mai 2019, 18:44

Oracle a publié un correctif. L'appliquer immédiatement.

Bulletin de sécurité Oracle cve-2019-2725 du 26 avril 2019
https://www.oracle.com/technetwork/secu ... 66295.html

Référence CVE CVE-2019-2725
http://cve.mitre.org/cgi-bin/cvename.cg ... -2019-2725
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26262
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)

Messagede pierre » 03 Mai 2019, 21:55

Oracle modifie la liste des systèmes affectés.

Oracle WebLogic Server version 10.3.6.0.0
Oracle WebLogic Server version 12.1.3.0.0
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26262
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)

Messagede pierre » 17 Mai 2019, 16:21

La mesure de contournement provisoire devient la solution.

Bloquer l’accès aux chemins contenant les motifs /_async/* et /wls-wsat/* ;
Supprimer les fichiers wls9_async_response.war et wls-wsat.war, puis redémarrer le service.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26262
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité dans Oracle Weblogic (26.04.19)

Messagede pierre » 27 Juin 2019, 18:40

Alerte cloturée
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26262
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités