Correção de emergência publicada no dia 15 pela empresa está fora do calendário trimestral de atualizações.
Por Chris Kanaracus, do IDG News Service
A Oracle disponibilizou uma correção de emergência para consertar uma vulnerabilidade que afirma poder “derrubar” seus servidores de aplicação HTTP que são baseados em Apache 2.0 ou 2.2.
Os cibercriminosos podem explorar a brecha de segurança remotamente sem nome de usuário ou senhas, informou a Oracle em um alerta enviado ontem (15/9).
Os produtos afetados pelo bug incluem o Oracle Fusion Middleware 11g Release 1, versões 11.1.1.3.0, 11.1.1.4.0 e 11.1.1.5.0; o Oracle Application Server 10g Release 3, versão 10.1.3.5.0; e o Oracle Application Server 10g Release 2, versão10.1.2.3.0.
O Banco de Dados do Governo Federal dos EUA atribuiu uma avaliação de Sistema Comum de Pontuação de Vulnerabilidades (CVSS) de 7,8 "indicando uma negação completa de serviços do sistema operacional", segundo a Oracle.
Mas a empresa avaliou o problema de forma diferente, segundo seu alerta. “Uma negação completa de serviços do sistema operacional não é possível em qualquer plataforma suportada pela Oracle, e, por isso, a empresa atribuiu a avaliação de 5, com base no CVSS, indicando uma completa negação de serviços do Oracle HTTP, mas não do sistema operacional”, reportou a empresa.
De qualquer forma, a falha é grave o suficiente para a Oracle enviar uma correção de segurança fora de seu tradicional pacote trimestral. As próximas atualizações devem estar disponíveis em 18 de outubro deste ano.
Por Chris Kanaracus, do IDG News Service
A Oracle disponibilizou uma correção de emergência para consertar uma vulnerabilidade que afirma poder “derrubar” seus servidores de aplicação HTTP que são baseados em Apache 2.0 ou 2.2.
Os cibercriminosos podem explorar a brecha de segurança remotamente sem nome de usuário ou senhas, informou a Oracle em um alerta enviado ontem (15/9).
Os produtos afetados pelo bug incluem o Oracle Fusion Middleware 11g Release 1, versões 11.1.1.3.0, 11.1.1.4.0 e 11.1.1.5.0; o Oracle Application Server 10g Release 3, versão 10.1.3.5.0; e o Oracle Application Server 10g Release 2, versão10.1.2.3.0.
O Banco de Dados do Governo Federal dos EUA atribuiu uma avaliação de Sistema Comum de Pontuação de Vulnerabilidades (CVSS) de 7,8 "indicando uma negação completa de serviços do sistema operacional", segundo a Oracle.
Mas a empresa avaliou o problema de forma diferente, segundo seu alerta. “Uma negação completa de serviços do sistema operacional não é possível em qualquer plataforma suportada pela Oracle, e, por isso, a empresa atribuiu a avaliação de 5, com base no CVSS, indicando uma completa negação de serviços do Oracle HTTP, mas não do sistema operacional”, reportou a empresa.
De qualquer forma, a falha é grave o suficiente para a Oracle enviar uma correção de segurança fora de seu tradicional pacote trimestral. As próximas atualizações devem estar disponíveis em 18 de outubro deste ano.
