Skip to main content

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

ALERTES DE SÉCURITÉ

CERTFR-2020-ALE-022 : [MàJ] Vulnérabilité dans Oracle Weblogic (30 octobre 2020)

[version du 02 novembre 2020]

L'éditeur a émis une alerte de sécurité afin de signaler que le correctif mis à disposition le 20 octobre ne corrige pas complétement la vulnérabilité CVE-2020-14882. Des

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle Weblogic Server versions 10.3.6.0.0 sans le dernier correctif de sécurité
  • Oracle Weblogic Server versions 12.1.3.0.0 sans le dernier correctif de sécurité
  • Oracle Weblogic Server versions 12.2.1.3.0 sans le dernier correctif de sécurité
  • Oracle Weblogic Server versions 12.2.1.4.0 sans le dernier correctif de sécurité
  • Oracle Weblogic Server versions 14.1.1.0.0 sans le dernier correctif de sécurité

Résumé

Le 20 octobre 2020, Oracle a publié plusieurs correctifs de sécurité concernant Oracle Weblogic. Parmi les vulnérabilités corrigées, la CVE-2020-14882 permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Déclarée comme très simple à exploiter, des codes d'attaque ont été publiés le lendemain et des rapports publiés en source ouverte font état de campagne d'attaques.

Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 20 octobre 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

  • Vues : 471