I april lukkede Oracle masser af sikkerhedshuller, herunder en kritisk sårbarhed i et Java-modul i firmaets WebLogic Server-komponent til Fusion Middleware (CVE-2018-2628).
Et hul, der kan give angribere adgang til en sårbar server ved at afvikle ondsindet kode fra distancen.
Nu beretter en sikkerhedsforsker, der opererer under Twitter-navnet @pyn3rd og efter eget udsagn er en del af Alibaba Security Team, at have fundet en metode til at komme uden om den seneste patch fra Oracle.
Derved kan WebLogic-sårbarheden angiveligt udnyttes igen.
En sårbarhed med en CVSS-score (Common Vulnerability Scoring System) på 10 ud af 10 er opdaget i Oracle Identity Manager.
En angriber kan udnytte sårbarheden over netværk uden at være logget ind.
Oracle Identity Manager er en del af Oracle Fusion Middleware.
Sårbarheden findes i Identity Manager version 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 og 12.2.1.3.0.
Normalt udsender Oracle kun rettelser en gang i kvartalet. Men denne sårbarhed er vurderet til at være så alvorlig, at virksomheden har udsendt en rettelse uden for skemaet.
MySQL tegner sig for 13 procent af rettelserne i april kvartals sikkerhedsrettelser fra Oracle. 11 af de 39 sårbarheder i MySQL kan udnyttes over nettet, uden at angriberen har en konto på systemet.
37 procent af rettelserne er til Oracles brancheløsninger og til Fusion Middleware. De fleste af dem kan udnyttes over netværk uden en brugerkonto.
25 af rettelserne lukker huller relateret til en kendt sårbarhed i Apache Struts.
Der er otte rettelser til Java SE, hvoraf de syv kan udnyttes over netværk uden en brugerkonto. Fejlene er rettet i Java 8 Update 131.
