-
09/04/2020
-
93
-
609 bài viết
CVE-2024-21181: Lỗ hổng chiếm quyền kiểm soát WebLogic Server
Oracle đã phát hành một bản vá cho WebLogic Server để khắc phục một lỗ hổng nghiêm trọng (CVE-2024-21181) với điểm CVSS là 9,8.
Lỗ hổng này cho phép chiếm quyền điều khiển máy chủ từ xa mà không cần xác thực. Ảnh hưởng đến quyền truy cập mạng thông qua các giao thức T3 và IIOP, cho phép tin tặc giành quyền kiểm soát hoàn toàn WebLogic Server. Điều này có thể dẫn đến việc rò rỉ dữ liệu, gián đoạn hoạt động và các cuộc tấ/n cô/ng khác, gây ra nguy cơ lớn cho các hệ thống bị ảnh hưởng.
Các phiên bản bị ảnh hưởng:
1. Hạn chế Quyền Truy Cập Giao Thức T3: Giới hạn quyền truy cập giao thức T3 cho các nguồn tin cậy hoặc vô hiệu hóa nếu không cần thiết.
2. Vô hiệu hóa Giao Thức IIOP: Tắt giao thức IIOP trừ khi cần thiết cho chức năng ứng dụng.
Lỗ hổng này cho phép chiếm quyền điều khiển máy chủ từ xa mà không cần xác thực. Ảnh hưởng đến quyền truy cập mạng thông qua các giao thức T3 và IIOP, cho phép tin tặc giành quyền kiểm soát hoàn toàn WebLogic Server. Điều này có thể dẫn đến việc rò rỉ dữ liệu, gián đoạn hoạt động và các cuộc tấ/n cô/ng khác, gây ra nguy cơ lớn cho các hệ thống bị ảnh hưởng.
Các phiên bản bị ảnh hưởng:
- WebLogic Server 12.2.1.4.0
- WebLogic Server 14.1.1.0.0
1. Hạn chế Quyền Truy Cập Giao Thức T3: Giới hạn quyền truy cập giao thức T3 cho các nguồn tin cậy hoặc vô hiệu hóa nếu không cần thiết.
2. Vô hiệu hóa Giao Thức IIOP: Tắt giao thức IIOP trừ khi cần thiết cho chức năng ứng dụng.