Oracle cảnh báo lỗ hổng WebLogic nguy hiểm

Oracle Corp đang khẩn trương phát triển bản vá cho một lỗ hổng bảo mật cực kỳ nguy hiểm trong phần mềm máy chủ WebLogic bởi mã khai thác lỗi hiện đã được tung lên mạng Internet.

Minh chứng rõ ràng nhất cho mức độ nguy hiểm của lỗ hổng bảo mật WebLogic được phát hiện lần này chính là việc, hôm qua (29/7), Oracle đã phát hành bản tin cảnh báo khách hàng tình trạng khẩn cấp này.

Đây là lần đầu tiên trong 3 năm trở lại đây Oracle phát hành bản tin cảnh báo bảo mật lệch với thông lệ thường thấy.

Theo Oracle, lỗ hổng bảo mật nói trên phát sinh trong sản phẩm Oracle WebLogic Server và WebLogic Express - hay còn được biết đến bằng tên gọi BEA WebLogic. Đây đều là hai ứng dụng dành cho máy chủ.

Eric Maurice - Chuyên gia hàng đầu của Oracle - cho biết nếu khai thác thành công lỗi này tin tặc có thể đăng nhập được vào máy chủ WebLogic mà không cần đến bất kỳ tài khoản người dùng nào, cho phép chúng chiếm được quyền điều khiển máy chủ WebLogic đó.

Lỗi này được đánh giá vào mức "10 điểm" - mức điểm cao nhất trên thang bậc đánh giá mức độ nguy hiểm lỗi bảo mật CVSS của Oracle.

Oracle khuyến cáo các nhà quản trị nên áp dụng giải pháp hạn chế tạm thời của hãng trong thời gian chờ đợi bản sửa lỗi. Các nhà quản trị có thể tìm thấy hướng dẫn chi tiết tại đây.

"Chúng tôi sẽ cố gắng để phát hành bản sửa lỗi trong thời gian sớm nhất," ông Maurice khẳng định.

Trong khi đó, mã khai thác lỗi trên đây đã được tung lên mạng Internet từ ngày 15/7. Bản thân người phát tán lỗi cũng không hề gửi bất kỳ thông tin nào cảnh báo Oracle về lỗi này.