Oracle patcht kritische Lücke in WebLogic Server außer der Reihe

  • Tipp

  • mad.de
  • 1194 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Oracle patcht kritische Lücke in WebLogic Server außer der Reihe

    Angreifer könnten WebLogic Server mit vergleichsweise wenig Aufwand attackieren und übernehmen. Nun hat Oracle Sicherheitsupdates veröffentlicht.

    Oracle WebLogic Server ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-2725) attackierbar. Setzen Angreifer an der Lücke an, könnten Sie Server aus der Ferne und ohne angemeldet zu sein übernehmen.

    Informationen zur Sicherheitslücke gelangten an die Öffentlichkeit, bevor es abgesicherte Versionen gab. Jetzt hat Oracle reparierte Ausgaben des Java-EE-Anwendungsservers veröffentlicht. Die Patches erscheinen außerplanmäßig: Eigentlich veröffentlicht der Softwarehersteller nur quartalsweise Sammel-Updates.

    Jetzt patchen!
    In der offiziellen Sicherheitswarnung listet Oracle die betroffenen Versionen 10.3.6.0.0 und 12.1.3.0.0 auf. Die Versionsnummern der abgesicherten Ausgaben sind derzeit nur für Oracle-Kunden einsehbar. Da bereits Proof-of-Concept-Code kursiert, rät Oracle Admins zu einer zügigen Aktualisierung.
    Die Schwachstelle findet sich in den WLS9_ASYNC- und WLS-WSAT-Komponenten von WebLogic Server. Für einen Angriff müssten Angreifer lediglich präparierte Anfragen an einen verwundbare Server schicken. Ist das erfolgreich, könnten sie Schadcode ausführen – in so einem Fall gilt ein Server in der Regel als kompromittiert.

    Quelle: Oracle patcht kritische Lücke in WebLogic Server außer der Reihe | heise online
  • Jetzt patchen: Kritische Lücke in Oracle WebLogic Server wird angegriffen

    Das US-CERT rät zum zügigen Aktualisieren von WebLogic: Eine Lücke erlaubt unter bestimmten Voraussetzungen die Remote Code Execution.

    In den Web-Services von Oracles Java-EE-Anwendungsserver WebLogic klafft eine kritische Sicherheitslücke, die entfernten Angreifern ohne vorherige Authentifizierung das Ausführen beliebigen Codes (Remote Code Execution) ermöglichen kann. Sie fußt auf einem Deserialisierungsfehler im XMLDecoder.

    Oracle hat die Lücke mit einem CVSS-v3-Score von 9.8 (von möglichen 10) bewertet. Demnach sei sie leicht ausnutzbar ("Attack Complexity: Low") und erfordere keinerlei Interaktion mit den Web Services seitens eines (befugten) Anwenders ("User Interaction: None").

    Nicht nur das Oracle-Team rät Nutzern in einem Sicherheitshinweis zum sofortigen Sicherheitsupdate. Auch das US-CERT warnt vor CVE-2019-2729: Es seien bereits aktive Angriffe auf die Lücke beobachtet worden. Laut Oracle sind die WebLogic-Server-Versionen 10.3.6.0.0, 12.1.3.0.0 und 12.2.1.3.0 verwundbar. Registrierte Benutzer können abgesicherte Versionen über Oracles Update-Portal beziehen.

    Quelle: Jetzt patchen: Kritische Lücke in Oracle WebLogic Server wird angegriffen | heise online