Het gat zit in de Node Manager van de Oracle WebLogic Server, zo staat in de Advisory te lezen. Door het lek kunnen aanvallers zonder gebruikersnaam of wachtwoord de machines volledig overnemen, wat “grote impact heeft op de beschikbaarheid, integriteit en vertrouwelijkheid van het aangevallen systeem.”

Vooral WebLogic 9.0 en later op Windows is kwetsbaar. Bij die configuratie kan het lek helemaal worden uitgebruit. Weblogic 9.0 op Linux of Unix is minder kwetsbaar en oudere versies van WebLogic hebben nog minder last van de bug.

Superieur

Het lek is geopenbaard door David Litchfield, die op Black Hat verklaarde dat hij heel ijverig op zoek was gegaan naar fouten in Oracle software nadat Larry Ellison zijn database ‘unbreakable’ had genoemd. Dat werkte op hem als een rode lap op een stier.

Toch heeft Litchfield een hoge pet op van de huidige beveiliging van Oracle. Hij zei zelfs dat de beveiliging van Oracle 11g database superieur is aan die van twee jaar geleden.

Bron: Techworld