{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Oracle WebLogic Server version 12.1.3.0.0","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"Oracle WebLogic Server version 10.3.6.0.0","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-06-20","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\nL'application des correctifs de s\u00e9curit\u00e9 est toujours pr\u00e9f\u00e9rable aux\nmesures de contournement.\n\nUne \u00e9valuation des risques doit \u00eatre conduite avant d'envisager les\nmesures de contournement suivantes :\n\n1.  Bloquer l\u2019acc\u00e8s aux chemins contenant les motifs */\\_async/\\** et\n    */wls-wsat/\\* ;  \n    *\n2.  Supprimer les fichiers *wls9_async_response.war* et *wls-wsat.war*,\n    puis red\u00e9marrer le service.\n","cves":[{"name":"CVE-2019-2725","url":"https://www.cve.org/CVERecord?id=CVE-2019-2725"}],"links":[{"title":"Avis CERT-FR CERTFR-2019-AVI-189 du 29 avril 2019","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-189/"}],"reference":"CERTFR-2019-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2019-04-26T00:00:00.000000"},{"description":"Ajout du bulletin de s\u00e9curit\u00e9 Oracle cve-2019-2725 du 26 avril 2019","revision_date":"2019-04-29T00:00:00.000000"},{"description":"Modification des versions vuln\u00e9rables par Oracle le 30 avril 2019.","revision_date":"2019-05-03T00:00:00.000000"},{"description":"Passage de la mesure de contournement dans la section Solution.","revision_date":"2019-05-17T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte","revision_date":"2019-06-20T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<strong>\\[Mise \u00e0 jour du 29 avril 2019\\]</strong> Oracle a publi\u00e9 un correctif de\ns\u00e9curit\u00e9 le 26 avril 2019. Le CERT-FR recommande son application dans\nles plus brefs d\u00e9lais (cf. section Documentation).\n\n\u00a0\n\nLe 21 avril 2019, l'\u00e9quipe de chercheurs Knownsec 404 Team a annonc\u00e9\navoir trouv\u00e9 une vuln\u00e9rabilit\u00e9 affectant toutes les versions d\u2019Oracle\nWebLogic :\n<https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93>\n\nPar une requ\u00eate HTTP(S) sp\u00e9cialement forg\u00e9e, un attaquant non\nauthentifi\u00e9 pourrait ex\u00e9cuter du code arbitraire \u00e0 distance. La\nvuln\u00e9rabilit\u00e9 serait d\u00e9clench\u00e9e lors de la d\u00e9-s\u00e9rialisation de la\nrequ\u00eate dans les composants *wls9_async_response.war* et *wls-wsat.war*,\nqui sont install\u00e9s par d\u00e9faut. Le premier composant permet la gestion\nd'op\u00e9rations asynchrones par le serveur tandis que le second est un\nmodule de gestion de la s\u00e9curit\u00e9.\n\nAucun correctif n\u2019est disponible pour l\u2019instant et Oracle n\u2019a pas\ncommuniqu\u00e9 sur le sujet. Le CERT-FR n'a pu v\u00e9rifier l\u2019existence de ces\nvuln\u00e9rabilit\u00e9s et n'a pas identifi\u00e9 de code d'exploitation sur Internet.\nDe nombreux scans sur les urls vuln\u00e9rables ont n\u00e9anmoins \u00e9t\u00e9 identifi\u00e9s.\n\nSelon le chercheur, cette vuln\u00e9rabilit\u00e9 n\u2019a pas encore \u00e9t\u00e9 exploit\u00e9e\npour ex\u00e9cuter des charges malveillantes.\n","title":"Vuln\u00e9rabilit\u00e9 dans Oracle WebLogic","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Oracle cve-2019-2725 du 26 avril 2019","url":"https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html"}]}