Falha de segurança pode “derrubar” servidores da Oracle.
Correção de emergência publicada ontem (15/9) pela empresa está fora do calendário trimestral de atualizações.
A Oracle disponibilizou uma correção de emergência para consertar uma vulnerabilidade que afirma poder “derrubar” seus servidores de aplicação HTTP que são baseados em Apache 2.0 ou 2.2.
Os cibercriminosos podem explorar a brecha de segurança remotamente sem nome de usuário ou senhas, informou a Oracle em um alerta enviado ontem (15/9).
Os produtos afetados pelo bug incluem o Oracle Fusion Middleware 11g Release 1, versões 11.1.1.3.0, 11.1.1.4.0 e 11.1.1.5.0; o Oracle Application Server 10g Release 3, versão 10.1.3.5.0; e o Oracle Application Server 10g Release 2, versão10.1.2.3.0.
O Banco de Dados do Governo Federal dos EUA atribuiu uma avaliação de CVSS (Sistema Comum de Pontuação de Vulnerabilidades) de 7,8 ", indicando uma negação completa de serviços do sistema operacional", segundo a Oracle.
Mas a empresa avaliou o problema de forma diferente, segundo seu alerta.
“Uma negação completa de serviços do sistema operacional não é possível em qualquer plataforma suportada pela Oracle, e, por isso, a empresa atribuiu a avaliação de 5, com base no CVSS, indicando uma completa negação de serviços do Oracle HTTP, mas não do sistema operacional”, reportou a empresa.
De qualquer forma, a falha é grave o suficiente para a Oracle enviar uma correção de segurança fora de seu tradicional pacote trimestral. As próximas atualizações devem estar disponíveis em 18 de outubro.
Fonte IdgNow