CERTFR-2020-ALE-022
Vulnerability from certfr_alerte

[version du 02 novembre 2020]

L'éditeur a émis une alerte de sécurité afin de signaler que le correctif mis à disposition le 20 octobre ne corrige pas complétement la vulnérabilité CVE-2020-14882. Des patches sont mis à disposition, se référer à l'alerte de l'éditeur pour obtenir les correctifs [1].

L'éditeur souligne que les versions qui ne sont plus supportées peuvent être affectées par ces vulnérabilités, il est donc primordial de déployer une version maintenue d'Oracle Weblogic.

Dans le cas où le dernier correctif ne peut pas être déployé rapidement, il est vivement recommandé d'envisager de désactiver temporairement la console Weblogic. Se référer à la documentation de l'éditeur.

[version initiale]

Le 20 octobre 2020, Oracle a publié plusieurs correctifs de sécurité concernant Oracle Weblogic. Parmi les vulnérabilités corrigées, la CVE-2020-14882 permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Déclarée comme très simple à exploiter, des codes d'attaque ont été publiés le lendemain et des rapports publiés en source ouverte font état de campagne d'attaques.

Si vous n'avez pas déployé les correctifs mis à disposition par l'éditeur le 20 octobre 2020, il est nécessaire de les appliquer sans délai et d'effectuer des contrôles du système d'information afin de détecter une éventuelle compromission, notamment en investiguant vos journaux systèmes et réseaux afin d’identifier les éventuelles connexions illégitimes et les possibles latéralisation par un ou plusieurs attaquants sur votre infrastructure.

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Oracle Weblogic Oracle Weblogic Server versions 12.1.3.0.0 sans le dernier correctif de sécurité
Oracle Weblogic Oracle Weblogic Server versions 12.2.1.3.0 sans le dernier correctif de sécurité
Oracle Weblogic Oracle Weblogic Server versions 10.3.6.0.0 sans le dernier correctif de sécurité
Oracle Weblogic Oracle Weblogic Server versions 12.2.1.4.0 sans le dernier correctif de sécurité
Oracle Weblogic Oracle Weblogic Server versions 14.1.1.0.0 sans le dernier correctif de sécurité
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Oracle Weblogic Server versions 12.1.3.0.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "Oracle Weblogic Server versions 12.2.1.3.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "Oracle Weblogic Server versions 10.3.6.0.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "Oracle Weblogic Server versions 12.2.1.4.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "Oracle Weblogic Server versions 14.1.1.0.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "Weblogic",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2020-12-17",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2020-14750",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-14750"
    },
    {
      "name": "CVE-2020-14882",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-14882"
    }
  ],
  "initial_release_date": "2020-10-30T00:00:00",
  "last_revision_date": "2020-12-17T00:00:00",
  "links": [
    {
      "title": "[1] Alerte de s\u00e9curit\u00e9 Oracle du 1er novembre 2020",
      "url": "https://www.oracle.com/security-alerts/alert-cve-2020-14750.html"
    }
  ],
  "reference": "CERTFR-2020-ALE-022",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-10-30T00:00:00.000000"
    },
    {
      "description": "Nouveau correctif disponible par l\u0027\u00e9diteur.",
      "revision_date": "2020-11-02T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2020-12-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[version du 02 novembre 2020\\]\u003c/strong\u003e\n\nL\u0027\u00e9diteur a \u00e9mis une alerte de s\u00e9curit\u00e9 afin de signaler que le\ncorrectif mis \u00e0 disposition le 20 octobre ne corrige pas compl\u00e9tement la\nvuln\u00e9rabilit\u00e9 CVE-2020-14882. Des patches sont mis \u00e0 disposition, se\nr\u00e9f\u00e9rer \u00e0 l\u0027alerte de l\u0027\u00e9diteur pour obtenir les correctifs \\[1\\].\n\nL\u0027\u00e9diteur souligne que les versions qui ne sont plus support\u00e9es peuvent\n\u00eatre affect\u00e9es par ces vuln\u00e9rabilit\u00e9s, il est donc primordial de\nd\u00e9ployer une version maintenue d\u0027Oracle Weblogic.\n\nDans le cas o\u00f9 le dernier correctif ne peut pas \u00eatre d\u00e9ploy\u00e9 rapidement,\nil est vivement recommand\u00e9 d\u0027envisager de d\u00e9sactiver temporairement la\nconsole Weblogic. Se r\u00e9f\u00e9rer \u00e0 la documentation de l\u0027\u00e9diteur.\n\n\u003cstrong\u003e\\[version initiale\\]\u003c/strong\u003e\n\nLe 20 octobre 2020, Oracle a publi\u00e9 plusieurs correctifs de s\u00e9curit\u00e9\nconcernant Oracle Weblogic. Parmi les vuln\u00e9rabilit\u00e9s corrig\u00e9es, la\nCVE-2020-14882 permet \u00e0 un attaquant non authentifi\u00e9 de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance.\n\nD\u00e9clar\u00e9e comme tr\u00e8s simple \u00e0 exploiter, des codes d\u0027attaque ont \u00e9t\u00e9\npubli\u00e9s le lendemain et des rapports publi\u00e9s en source ouverte font \u00e9tat\nde campagne d\u0027attaques.\n\nSi vous n\u0027avez pas d\u00e9ploy\u00e9 les correctifs mis \u00e0 disposition par\nl\u0027\u00e9diteur le 20 octobre 2020, il est n\u00e9cessaire de les appliquer sans\nd\u00e9lai et d\u0027effectuer des contr\u00f4les du syst\u00e8me d\u0027information afin de\nd\u00e9tecter une \u00e9ventuelle compromission, notamment en investiguant vos\njournaux syst\u00e8mes et r\u00e9seaux afin d\u2019identifier les \u00e9ventuelles\nconnexions ill\u00e9gitimes et les possibles lat\u00e9ralisation par un ou\nplusieurs attaquants sur votre infrastructure.\n\n-   Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information :\n    \u003c/information/CERTA-2002-INF-002/\u003e\n-   Le guide d\u0027hygi\u00e8ne informatique :\n    \u003chttps://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf\u003e\n\n\u00a0\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u2019un produit ou d\u2019un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd\u2019effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u2019application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Oracle Weblogic",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "bulletin CERT-FR CERTFR-2020-ACT-009 du 27 octobre 2020",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-009/"
    },
    {
      "published_at": null,
      "title": "avis CERT-FR CERTFR-2020-AVI-667 du 21 octobre 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-667/"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Oracle du 20 octobre 2020",
      "url": "https://www.oracle.com/security-alerts/cpuoct2020verbose.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.