Om precies te zijn zit de kwetsbaarheid in de Apache-plugin voor het met BEA binnengehaalde product. Het lek maakt het mogelijk om over een netwerk in WebLogic-servers te komen, zonder dat daar authenticatie voor nodig is. Versies 6.1 tot en met 10.0 van WebLogic zijn kwetsbaar voor een aanval. Het bericht heeft het nummer CVE-2008-3257 meegekregen.

Een patch moet snel beschikbaar komen. Oracle heeft tot die tijd twee handmatige oplossingen geplaatst: het toevoegen van LimitRequestLine 4000 in het httpd.conf-bestand en herstart van Apache, of het gebruik van de Modsecurity (mod_security) module voor Apache in het geval dat urls meer dan 4000 bytes moeten kunnen innemen.

Oracle heeft elk kwartaal een vast securitymoment; de vorige was 15 juli. Dat de waarschuwing zo kort na deze Critical Patch Update (CPU) komt heeft volgens Oracle alles te maken met de hacker die het lek heeft geopenbaard. Deze heeft twee dagen na de patchronde een poc geplaatst zonder Oracle van tevoren in te lichten, waardoor Oracle geen tijd meer heeft gehad om adequaat te reageren, zo schrijft Eric Maurice op het Product Security Blog van het bedrijf. Bron: Techworld