Connessioni / Next / Search / Sicurezza / Social
Oracle, una patch fuori programma per WebLogic
Un problema di WebLogic, l’application server di provenienza Bea, costringe agli straordinari i tecnici Oracle. Che lottano anche con un exploit in libera uscita
Prima patch fuori programma per Oracle: l’azienda di Larry Ellison - che ormai dall’inizio del 2005 rilascia aggiornamenti di sicurezza per i propri prodotti su base periodica - mette mano a WebLogic, l’application server ereditato da Bea dopo l’acquisizione di inizio anno.
Oracle ha appena distribuito il terzo Critical Patch Update dell’anno: visto che il prossimo è previsto ad ottobre e la vulnerabilità di WebLogic è posta al massimo livello della scala prevista dal sistema previsto da Oracle (Common Vulnerability Scoring System), ecco spiegato lo strappo alla regola. Il rischio era troppo elevato per essere ignorato, e il codice per sfruttare la vulnerabilità è in libera circolazione sul Web.
“Chi ha pubblicato la vulnerabilità e l’exploit relativo non ha contattato Oracle prima di rendere pubblico il problema” ha commentato Eric Maurice, responsabile per la sicurezza di Oracle Global Technology Business Unit, sul blog dedicato alla problematica. “Significa che la vulnerabilità è stata resa pubblica prima di dare l’opportunità a Oracle di sviluppare un rimedio appropriato e renderlo disponibile ai clienti” ha continuato Maurice. La cui richiesta di responsible disclosure è la stessa di molti vendor commerciali.
Va sottolineato che anche un colosso come Oracle - che pure dall’inizio del 2008 ha applicato più di un centinaio di cerotti ai propri prodotti - non possa non subire le magagne di un prodotto, per così dire, ereditato da terzi: tanto più che l’elenco delle correzioni apportate da Bea al proprio software nel 2008 ammonta a 30. Insomma, il problema c’è, e va corretto subito, ma è fisiologico che ci sia.
Il componente vulnerabile di WebLogic è un plug-in per Apache, il server Web open source. Il problema può essere aggirato filtrando le richieste mediante il modulo Apache mod_security, compilato nativamente nell’Apache contenuto in WebLogic.
[Aggiornamento: la patch è stata effettivamente rilasciata e descritta con questo bollettino il 6 agosto 2008. Gli amministratori di sistema devono installarla con la massima urgenza: si tratta del nuovo plug-in per Apache]
Ancora nessun commento.