Orakelproblem Varning över farlig WebLogic-fel

Oracle krypterar för att skapa en nödsituation för en allvarlig sårbarhet i företagets WebLogic-server, eftersom exploateringskoden cirkulerar på webben.

Företaget utfärdade en sällsynt säkerhetsvarning på tisdag, den första off-schedule varningen eftersom den

Problemet ligger i Apache-plugin för Oracle WebLogic Server och Express-produkter (tidigare kallat BEA WebLogic), båda applikationsservrar.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Sårbarheten kan utnyttjas via ett nätverk utan att behöva ett användarnamn eller lösenord, skrev Oracle Eric Maurice i en rådgivning.

Felet kan leda till "kompromiss sekretess, integritet och tillgänglighet för det riktade systemet ", skrev Maurice. Problemet visar en 10,0, den allvarligaste graderingen, på CVSS-skalan (Common Vulnerability Scoring System), en ram som används för att utvärdera riskerna med ett visst fel.

Oracle rekommenderade administratörer att genomföra en lösning när den arbetar för att skapa en plåster.

"Vi förväntar oss att den här åtgärden ska vara klar snart, och vi kommer att utfärda en uppdaterad säkerhetsvarning för att låta kunderna veta om dess tillgänglighet", skrev Maurice.

Den person som publicerade exploateringskoden varnade inte Oracle i förväg skrev Maurice. Utnyttjandekoden släpptes efter den 15 juli, sista gången Oracle utfärdade patchar.

Släpp eller använd exploateringskod strax efter att patchar har utfärdats är en taktik ofta anställd mot andra företag som Microsoft, vilka patchar på den andra tisdagen varje månad. Hackare försöker maximera den tid de kan dra fördel av en fel innan ett företag utfärdar korrigeringar igen.

Microsoft har emellertid varit känt att utfärda felaktiga programvaror för mycket farliga fel.