Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Oracle WebLogic Server versions 10.3.6.0.0, 12.1.3.0.0 et 12.2.1.3.0
Résumé
Le 18 juin 2019, Oracle a publié un avis de sécurité hors de son cycle
habituel de correctifs pour une vulnérabilité jugée critique.
Cette faille d'identifiant CVE-2019-2729 affecte les serveurs WebLogic
et peut conduire à une exécution de code arbitraire à distance sans
qu'une authentification soit nécessaire.
Cette vulnérabilité a été remontée à l'éditeur par plusieurs chercheurs
en sécurité parmi lesquelles l'équipe Knownsec 404.
Dans une publication de blogue le 15 juin 2019 (cf. section
documentation) l'équipe, qui avait par ailleurs rapporté au mois d'avril
2019 une précédente vulnérabilité affectant WebLogic, annonce avoir
identifié l'exploitation de la vulnérabilité actuelle. Cette faille
serait basée sur un contournement du correctif de sécurité déployé par
Oracle en avril 2019 relatif à la vulnérabilité CVE-2019-2725.
Le CERT-FR recommande l'application du correctif de sécurité dans les plus brefs délais.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Oracle alert-cve-2019-2729-5570780 du 18 juin 2019 https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
- Alerte du CERT-FR CERTFR-2019-ALE-005 du 26 avril 2019 sur la vulnérabilité CVE-2019-2725 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-005/
- Avis CERT-FR CERTFR-2019-AVI-285 https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-285/
- Publication de blogue de l'équipe Knownsec 404 sur la CVE-2019-2729 https://medium.com/@knownsec404team/knownsec-404-team-alert-again-cve-2019-2725-patch-bypassed-32a6a7b7ca15
- Référence CVE CVE-2019-2725 https://www.cve.org/CVERecord?id=CVE-2019-2725
- Référence CVE CVE-2019-2729 https://www.cve.org/CVERecord?id=CVE-2019-2729
