Apache corrige vulnerabilidade grave no OFBiz
A Apache confirmou ter corrigido uma vulnerabilidade crítica no OFBiz (Open For Business) que, quando explorada, poderia permitir aos atacantes executarem código de forma remota nos sistemas vulneráveis, tanto Windows como Linux.
O OFBiz (Open For Business) é um software da Apache, focado em CRM e ERP, tendo forte uso voltado para empresas e negócios. No entanto, o mesmo pode também ser usado como framework para o desenvolvimento de aplicações, portanto a sua utilização pode ser bastante variada.
A falha foi descoberta pelos investigadores da Rapid7, e permitia a execução remota de código na aplicação, o que poderia levar a que os sistemas onde o software se encontrava fossem comprometidos. A falha não se acredita que tenha sido ativamente explorada para ataques antes de ter sido descoberta, mas os investigadores revelaram uma prova de conceito do ataque, e é bastante provável que a mesma venha a ser ativamente explorada.
A correção da falha foi lançada com a versão 18.12.16, que já se encontra disponível. Para todas as entidades que fazem uso deste software a atualização é recomendada o mais rapidamente possível.
Curiosamente, a falha agora descoberta aparenta encontrar-se relacionada com outras três que foram descobertas desde o inicio do ano, mas adota uma técnica ligeiramente diferente que permite contornar as correções aplicadas anteriormente.