Во вторник Oracle выпустила регулярное обновление за июль этого года с 342 исправлениями для нескольких продуктов (Java SE, MySQL, VirtualBox, Solaris и сервер приложений Weblogic).
Главное в обновлении — повторное исправление CVE-2019-2729, это была критическая уязвимость десериализации через XMLDecoder в веб-службах Oracle WebLogic Server, которую можно использовать удаленно без аутентификации. Стоит отметить, что изначально уязвимость была устранена в рамках обновления безопасности в июне 2019 года.
Oracle WebLogic Server - это сервер приложений, который функционирует как платформа для разработки, развертывания и запуска приложений на основе Java.
В WebLogic Server также исправлено шесть других уязвимостей, трем из которых присвоен рейтинг CVSS 9,8 из 10:
CVE-2021-2394 (CVSS score: 9.8)
CVE-2021-2397 (CVSS score: 9.8)
CVE-2021-2382 (CVSS score: 9.8)
CVE-2021-2378 (CVSS score: 7.5)
CVE-2021-2376 (CVSS score: 7.5)
CVE-2021-2403 (CVSS score: 5.3)
Можно заметить, это не первый случай обнаружения критических проблем в WebLogic Server. Ранее в этом году Oracle выпустила апрельский патч с исправлениями двух уязвимостей CVE-2021-2135 и CVE-2021-2136, при эксплуатации которых можно было получить RCE (remote code execution) + про них писали, что их легко эксплуатировать.
Пользователям Oracle рекомендуется как можно скорее применить обновления для защиты системы от потенциального использования.