В Weblogic Server пропатчены четыре критические уязвимости
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В Weblogic Server пропатчены четыре критические уязвимости

Татьяна Никитина 22 Июля 2021 - 18:31
...
В Weblogic Server пропатчены четыре критические уязвимости

Компания Oracle выпустила очередной набор патчей, суммарно закрыв 342 новых уязвимости в своих продуктах. В числе прочих обновления получили Java SE, MySQL, VirtualBox, Solaris и сервер приложений Weblogic.

Из уязвимостей в WebLogic Server наиболее интересна критическая дыра CVE-2019-2729 (9,8 балла по CVSS). Разработчик уже латал ее в 2019 году, выпустив срочные обновления для бизнес-платформы Fusion Middleware. Данная уязвимость возникла из-за некорректной десериализации документов XML и позволяет удаленно и без авторизации выполнить вредоносный код на сервере.

Как оказалось, CVE-2019-2729 актуальна также для систем управления эффективностью предприятия (EPM) семейства Hyperion — сервер WebLogic включен в них как компонент. Наличие уязвимости подтверждено для Hyperion Infrastructure Technology выпусков 11.1.2.4 и 11.2.5.0.

В WebLogic Server объявилось также шесть новых проблем; три из них оценены как критические. Эксплойт во всех случаях тривиален, не требует аутентификации (нужен лишь доступ по сети) и грозит такими неприятностями:

  • CVE-2021-2394 — захват контроля над сервером, 9,8 балла;
  • CVE-2021-2397 — захват контроля над сервером, 9,8 балла;
  • CVE-2021-2382 — захват контроля над сервером, 9,8 балла;
  • CVE-2021-2378 — отказ в обслуживании (DoS), 7,5 балла;
  • CVE-2021-2376 — DoS, 7,5 балла;
  • CVE-2021-2403 — неавторизованный доступ на чтение к данным, 5,3 балла.

Попытки взлома серверов через уязвимости в WebLogic — нередкое явление, поэтому пользователям рекомендуется обновить сервер приложений ASAP.

В платформе Java SE устранены четыре проблемы с безопасностью; самая серьезная из них получила 7,5 балла по CVSS. В MySQL Server пропатчено 35 уязвимостей, в VirtualBox — четыре, в ядре Solaris — одна, и притом неопасная. Полный список продуктов, получивших обновления, представлен в июльском бюллетене Oracle.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Аддоны Firefox будут по-новому заявлять о работе с персональными данными
Татьяна Никитина 24 Октября 2025 - 13:32
Домашние пользователиКорпорации Защита персональных данных Mozilla
Аддоны Firefox будут по-новому заявлять о работе с персональными данными

Компания Mozilla меняет способ декларирования сбора и передачи ПДн для дополнений Firefox, публикуемых в ее каталоге. Начиная с 3 ноября, такая активность аддонов должна прописываться в файле manifest.json.

Если продукт не работает с персональными данными, в компоненте browser_specific_settings.gecko.data_collection_permissions следует указать значение «none». Новое требование пока касается лишь новинок на addons.mozilla.org (AMO), но к середине 2026 года распространится на весь ассортимент.

Включенная в манифест информация о сборе персональных данных либо отсутствии такового будет выводиться юзеру вместе с запросом на разрешения при установке аддона Firefox:

 

Те же сведения будут отображаться в менеджере about:addons (раздел Permissions and Data) и на странице дополнения в каталоге AMO.

В свойстве browser_specific_settings.gecko.data_collection_permissions также можно указать опциональные, отключаемые методы работы с персональными данными — такими как личные идентификаторы (ФИО, email, телефон, адрес, возраст и проч.), финансовая информация, геолокация, учетки, история браузера, поисковые запросы и взаимодействие с сайтами.

Начав использовать data_collection_permissions, разработчики должны будут выполнять это требование во всех последующих версиях своего продукта. Несоответствие грозит отклонением заявки на подпись для включения в каталог AMO.

В тех случаях, когда аддон совместим лишь с десктопными Firefox версий ниже 140 или Firefox для Android ниже 142, пользователям по-прежнему должна быть предоставлена возможность управления сбором персональных данных и передачей их на внешние серверы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Уязвимость в WinRAR используют для установки бэкдора RomCom
Новость
Уязвимость в WinRAR используют для установки бэкдора RomCom
Индид инвестировала в BearPass и объявила о стратегическом партнерстве
Новость
Индид инвестировала в BearPass и объявила о стратегическом п...
Сбой в аэропортах Европы: британская полиция арестовала хакера
Новость
Сбой в аэропортах Европы: британская полиция арестовала хаке...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.