Oracle vient de publier un bulletin d'alerte de sécurité informant de l'existence d'une faille extrêmement critique dans mod_server, le module de connexion Apache au serveur Oracle WebLogic (anciennement serveur BEA WebLogic). Cette vulnérabilité peut être exploitée à distance sans la moindre authentification préalable. Un utilisateur malicieux pourrait exploiter cette faille avec des impacts sur l'intégrité des données et la confidentialité.

Cette faille est classée 10 sur l'échelle CVSS (Common Vulnerability Scoring System), ce qui correspond au degré de dangerosité le plus élevé.

Il n'existe pour l'instant pas de correctif de sécurité. Oracle déclare travailler y travailler et oubliera le correctif dès qu'il aura été suffisamment testé.

Les produits affectés pas la faille sont :

- Oracle WebLogic Server 10.0
- Oracle WebLogic Server 9.0, 9.1, 9.2
- Oracle WebLogic Server 8.1
- Oracle WebLogic Server 7.0
- Oracle WebLogic Server 6.1

Pour en savoir plus : L'alerte sécurité d'Oracle