(Por El Microsaurio) Si administrás Weblogic en Apache, ya te habrán avisado. Acá te contamos la parte de la novela que no te contó Oracle. Dos semanas después del Gran Sumario de Parches de Oracle, un agujero y ningún tapón.
Hace unos quince días te contamos que salía el periódico Aluvión de Parches de Oracle. Y que varias de las fallas detalladas estaban en software de BEA, que hace relativamente poco fue comprada por Oracle. En este fin de semana nos enteramos de una malvada movida de KingCope, un hacker que publicó el código de ataque necesario para causar un desbordamiento de buffer en Oracle WebLogic (ex-BEA WebLogic).
Con un detallecito extra: la falla es tan grave, que se puede entrar al sistema sin robarse un nombre de usuario y un password. A lo bruto, nomás. A la antigua. Nada de “fuzzy logic”, “rainbow tables”, ni siquiera un desgastado John The Ripper. Lo único que necesitás es meter el código de este hacker (cracker, realmente) en un servidor que emplee el plugin Oracle WebLogic para Apache. ¿Versiones afectadas? Entre la 6.1 y la 10.
Si te cabe, entrá en esta página del soporte de Bea, revisá los “workarounds”, palabra elegante para denominar a “no tenemos parche, hacé esto y esto y además cruzá los dedos por si acaso”.
Ah, sí. Parece que Oracle publicará un parche fuera de programa.
¿Adivinaste?
Algunos de los que usan este software Allá en el Norte Adinerado están en el Fortune, para mala fortuna de Oracle. Y levantaron el teléfono para protestar.
Porque todavía se arreglan cosas con un golpe de teléfono. Y esos golpes sí que duelen.