Oracle : faille critique dans WebLogic [corrigé]

Une faille critique vient d’être découverte dans le module mod_server, permettant la connexion de Apache à WebLogic (racheté à BEA par Oracle). Elle permettrait d’avoir accès à distance aux données du serveur sans aucune authentification.

Cette faille est notée comme très élevée (1.0 sur l’échelle CVSS Common Vulnerability Scoring System) et un correctif est déjà en préparation par Oracle.

Les versions de Oracle WebLogic Server affectées par cette faille sont : 6.1, 7.0, 8.1, 9.0, 9.1, 9.2, 10.0.

Voir le bulletin d’alerte de Oracle.

Mise à jour 08/08/2008 : Oracle a fourni un correctif à cette faille.