Oracle WebLogic Server

Продукт
Разработчики: Oracle
Дата последнего релиза: 2020/08/07
Технологии: Корпоративные порталы,  Серверные платформы

Содержание

2020: Обнаружение уязвимости, позволяющей с помощью доступного из интернета сервисного URL-адреса подключиться к серверу

7 августа 2020 года Positive Technologies сообщила, что ее эксперт Арсений Шароглазов обнаружил уязвимость в серверах приложений Oracle WebLogic Server. С помощью доступного из интернета сервисного URL-адреса злоумышленники могут подключиться к системе, подобрать логин и пароль для доступа и осуществить удаленное считывание файлов (remote file reading). Продукты семейства Oracle WebLogic используются десятки тысяч компаний по всему миру.

Уязвимости CVE-2020-14622 присвоена средняя степень опасности по шкале CVSS (Базовая оценка: 4,9).

Проблема усугубляется тем фактом, что многие системные администраторы не подозревают о существовании данного URL и комбинации стандартного логина и пароля для доступа к нему. Обычно административная панель WebLogic расположена на отдельном порте и недоступна из интернета, а конфигурация системы устанавливается с помощью специальных скриптов, в которых содержатся дефолтные данные для доступа к сервисному URL.

С помощью данного недостатка безопасности злоумышленники могут получить доступ к Oracle WebLogic Server и считывать любые файлы, находящиеся на сервере. В зависимости от организации, которой принадлежит сервер, на нем могут находиться персональные данные пользователей, конфигурационные файлы важных систем, исходные коды приложений, в которых также могут быть обнаружены уязвимости.

Для проведения атаки злоумышленнику достаточно обладать средней квалификацией. Обнаружить уязвимость можно с помощью автоматизированных систем сканирования, а для ее эксплуатации взломщику придется написать несложный код на языке Java.

«
В ходе проектов по анализу защищенности мы встречали данную уязвимость в банковских системах, сертифицированных под PSI DSS, — говорит исследователь Positive Technologies Арсений Шароглазов. — Это сложные системы: строится DMZ, куда устанавливают несколько серверов, в том числе несколько WebLogic, SQL-базы, все это изолируется и аудируется, ставятся проксирующий nginx и WAF, но администраторы не знают про возможность доступа к инфраструктуре с помощью сервисного URL, и это подрывает защиту.
»

Для снижения рисков, связанных с эксплуатацией уязвимости CVE-2020-14622, эксперты Positive Technologies рекомендуют установить обновление безопасности, выпущенное Oracle, а также сменить стандартный пароль для доступа к сервисному URL. Помимо этого компании, использующие в своей инфраструктуре продукты Oracle WebLogic Server, могут снизить риски эксплуатации уязвимости CVE-2020-14622 с помощью регулярного тестирования на проникновение и использования специализированных средств защиты.

2013: Oracle WebLogic Server 12.1.2

О выходе новой версии сервера приложений Oracle WebLogic Server 12.1.2 сообщила корпорация Oracle 5 августа 2013 года.

Oracle WebLogic Server оптимизирован для работы на Oracle Exalogic Elastic Cloud, входящем в семейство оптимизированных программно-аппаратных комплексов Oracle Engineered Systems

Новое в функционале

  • Новая версия Oracle WebLogic Server 12.1.2 использует динамическую кластеризацию для большей «гибкости облака» и эффективного управления ресурсами, упрощает администрирование Java Messaging Service (JMS).
  • Полная сертифицированная поддержка и интеграция с Oracle Database 12c, включая поддержку доступа к консолидированным базам данных в мультиарендной архитектуре, а также обеспечение непрерывности работы приложений и высокой доступности данных.
  • Расширена поддержка Apache Maven для управления версиями и жизненным циклом, реализована поддержка HTML5, Java и WebSockets для разработки мобильных и кросс-платформенных приложений.
  • Сервер предоставляет декларативный, основанный на JSON или XML доступ к корпоративным источникам данных через интерфейс распределенных приложений REST (Representational State Transfer) с использованием сервисов Oracle TopLink.

2011: Oracle WebLogic Server 12c

Корпорация Oracle сообщила в декабре 2011 года о выпуске Oracle WebLogic Server 12c — новой версии сервера приложений для традиционных систем, оптимизированных программно-аппаратных комплексов и сред облачных вычислений. Являясь ключевой частью платформы Oracle Cloud Application Foundation и ядром семейства Oracle Fusion Middleware, Oracle WebLogic Server продолжает предоставлять новые инновационные возможности для создания, развертывания и выполнения приложений Java EE (Java Platform, Enterprise Edition).

Новая версия Oracle WebLogic Server 12c предлагает важные расширения и улучшения, призванные помочь клиентам и партнерам снизить совокупную стоимость владения и получать большую отдачу от существующей инфраструктуры приложений при одновременном ускорении цикла разработки и сокращении сроков вывода на рынок новых приложений.

Oracle WebLogic Server 12c сертифицирован для полной спецификации платформы Java EE 6, что обеспечивает повышенную эффективность работы разработчиков с современными, основанными на стандартах API-интерфейсами, включая Servlet 3.0, JAX-RS 1.1, Java Server Faces 2.1, EJB 3.1, Context and Dependency Injection for Java и многие другие. Кроме того, разработчики на платформе Oracle WebLogic Server могут теперь использовать функции Java Platform Standard Edition (Java SE) 7 для создания более качественного и удобного для сопровождения программного кода.

Oracle WebLogic Server 12c предоставляет полную поддержку управления зависимостями и унифицированного процесса сборки через обновленный подключаемый модуль для Apache Maven. В то же время, сервер приложений новой версии напрямую интегрируется с Oracle Traffic Director (OTD), новым компонентом семейства Oracle Fusion Middleware, что добавляет возможности маршрутизации трафика приложений с высоким уровнем производительности и доступности, динамически настраиваемого кэширования и балансировки нагрузки, а также поддерживает прокси для HTTP-приложений. Кроме того, технология Oracle Virtual Assembly Builder, используя графический инструментарий и открытые API-интерфейсы веб-сервисов на базе модели поставки PaaS («платформа как услуга»), обеспечивает упрощенное конфигурирование и компоновку многоуровневых корпоративных приложений в средах, виртуализованных с помощью Oracle VM.

«С выпуском новой версии Oracle WebLogic Server 12c клиенты могут использовать сервер приложений для получения большей отдачи от существующей инфраструктуры, для упрощения развертывания и управления приложениями, а также для ускорения вывода на рынок новых приложений через повышение эффективности работы разработчиков, — отметил Кэмерон Парди (Cameron Purdy), вице-президент Oracle по разработке. — Кроме того, благодаря Oracle WebLogic Server 12c клиенты смогут лучше освоить облачные вычисления и использовать свою инфраструктуру для создания частных и публичных облачных архитектур и затем с легкостью переключаться между внутренней и внешней инфраструктурой по мере изменения потребностей».

По словам разработчиков, клиенты могут использовать Oracle WebLogic Server 12c в для решения наиболее важных и критичных для бизнеса задач благодаря высокой безопасности и готовности этой платформы. Улучшенная интеграция между Oracle WebLogic Server и Oracle Real Application Clusters (RAC) позволяет автоматически выявлять и корректировать сбои узлов (разделов) базы данных для поддержки высокой производительности и более простого управления.

В свою очередь, новые функции аварийного восстановления позволяют клиентам хранить данные в файлах или в базе данных, включая опцию сохранения журнала транзакций в базе данных. Это дает возможность использовать интегрированные в базу данных технологии согласованной репликации совместно с Oracle GoldenGate и Oracle Active Data Guard для всех динамических данных приложений, включая журналы регистрации онлайн-активности, журналы службы передачи сообщений Java Message Services (JMS) и журналы транзакций, пояснили в Oracle.

Среди других особенностей Oracle WebLogic Server 12c следует также отметить поддержку криптографического протокола Transport Layer Security (TLS) 1.2 (преемника протокола Secure Sockets Layer/SSL), повышающую безопасность приложений.

Oracle WebLogic Server оптимизирован для применения в качестве высокопроизводительной и эластичной облачной инфраструктуры для поддержки выполнения критически важных корпоративных приложений на Oracle Exalogic Elastic Cloud — программно-аппаратном комплексе для облачных вычислений. Сервер приложений Oracle является также ключевым компонентом Oracle Java Cloud Service — корпоративной платформы для разработки, развертывания и управления критически важными бизнес-приложениями Java EE.

2010: Состав Oracle WebLogic Server

Разработанный корпорацией Oracle Oracle WebLogic Server создан на платформе продуктов семейства Java EE и на декабрь 2010 года включает в себя:

  • сервер приложений Java EE, WebLogic Application Server
  • портал предприятия, WebLogic Portal
  • платформа интеграции корпоративных приложений
  • сервер транзакций и инфраструктуры, WebLogic Tuxedo
  • телекоммуникационная платформа,WebLogic Communication Platform
  • HTTP веб-сервер



ПРОЕКТЫ (19) ИНТЕГРАТОРЫ (18) СМ. ТАКЖЕ (67)

ЗаказчикИнтеграторГодПроект
- Российские железные дороги (РЖД)
ИнтэлЛекс (Intellex)2021.03Описание проекта
- Транснефть АК
Русинформсервис, КрастКом, Softline (Софтлайн)2018.08Описание проекта
- Сухой
Борлас (Borlas) Консалтинговая группа2018.06Описание проекта
- Российские железные дороги (РЖД)
Крок, ФОРС - Центр разработки2017.12Описание проекта
- Транснефть АК
УСП Компьюлинк, Инновационные Сырьевые Технологии2017.04Описание проекта
- ДОМ.РФ Агентство по ипотечному жилищному кредитованию (АИЖК)
Крок, ФОРС - Центр разработки2017.01Описание проекта
- МегаФон
Oracle Россия и СНГ2015.09Описание проекта
- Министерство экономического развития РФ (Минэкономразвития, МЭР)
AT Consulting (Группа ЭйТи)2015.05Описание проекта
- Татфондбанк
РДТЕХ2014.09Описание проекта
- Почта Банк (ранее Лето Банк)
AT Consulting (Группа ЭйТи), Астерос2013.09Описание проекта
- ТРАСТ Национальный банк
Без привлечения консультанта или нет данных2010.12Описание проекта
- Агентство по страхованию вкладов (АСВ)
Астерос Информационная безопасность (ранее Кабест)---Описание проекта
- Российская телевизионная и радиовещательная сеть (РТРС)
Softline (Софтлайн)---Описание проекта
- Волгоградэнергосбыт
Борлас Секьюрити Системз (БСС)---Описание проекта
- Маяк, ФГУП ПО
Softline (Софтлайн)---Описание проекта
- Федеральная таможенная служба (ФТС РФ)
РДТЕХ---Описание проекта
- Всероссийский Банк Развития Регионов (ВБРР)
Инфосистемы Джет---Описание проекта
- ВТБ24
Астерос, Техносерв---Описание проекта
- ВЭБ.РФ (ранее Внешэкономбанк)
ФОРС - Центр разработки---Описание проекта



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

  Microsoft (106, 517)
  1С-Битрикс (24, 173)
  WebSoft (ВебСофт Девелопмент) (1, 84)
  КСК Технологии (1, 61)
  Softline (Софтлайн) (14, 49)
  Другие (279, 309)

  КСК Технологии (1, 17)
  Microsoft (10, 14)
  1С-Битрикс (3, 9)
  WebSoft (ВебСофт Девелопмент) (1, 8)
  SAP SE (3, 5)
  Другие (13, 19)

  Microsoft (7, 16)
  КСК Технологии (1, 8)
  1С-Битрикс (2, 7)
  Oracle (1, 2)
  LanCloud (ЛанКлауд) (1, 2)
  Другие (2, 2)

  1С-Битрикс (4, 26)
  Microsoft (3, 4)
  Корус Консалтинг (2, 2)
  SAP SE (1, 2)
  Ensol (Энсол) (1, 2)
  Другие (5, 5)

  1С-Битрикс (4, 9)
  Microsoft (3, 4)
  Цифровая логистика (1, 3)
  IBM (2, 2)
  Корус Консалтинг (2, 2)
  Другие (8, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

  IBM (87, 92)
  Microsoft (13, 57)
  Oracle (39, 37)
  Dell EMC (25, 27)
  Fujitsu (17, 21)
  Другие (281, 173)

  Microsoft (1, 4)
  IBM (2, 3)
  Oracle (1, 3)
  Dell EMC (1, 3)
  РСК (группа компаний, ранее - РСК Скиф) (1, 2)
  Другие (13, 13)

  Dell EMC (4, 7)
  Oracle (3, 4)
  Bull (Atos IT Solutions And Services) (2, 4)
  Fujitsu (3, 3)
  Cisco Systems (2, 3)
  Другие (19, 21)

  Dell EMC (3, 7)
  Bull (Atos IT Solutions And Services) (2, 3)
  Скала-Р (ранее InterLab IBS) (1, 2)
  Lenovo (1, 2)
  КНС Групп (Yadro) (1, 2)
  Другие (9, 10)

  Hewlett Packard Enterprise (HPE) (1, 2)
  Softline (Софтлайн) (1, 2)
  Dell EMC (1, 2)
  Red Hat (1, 1)
  Селектел (Selectel) (1, 1)
  Другие (9, 9)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год