Der WebLogic Server von Oracle ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-2725) attackierbar. Wenn Angreifer an der Lücke ansetzen, könnten diese Server aus der Ferne und ohne angemeldet zu sein übernehmen.

Bevor es abgesicherte Versionen gab, gelangten Informationen zur Sicherheitslücke an die Öffentlichkeit. Oracle hat nun reparierte Ausgaben des Java-EE-Anwendungsservers veröffentlicht. Normalerweise veröffentlicht der Softwarehersteller nur quartalsweise Sammel-Updates, sodass die Patches außerplanmäßig erscheinen.

Oracle listet in der offiziellen Sicherheitswarnung die betroffenen Versionen 10.3.6.0.0 und 12.1.3.0.0 auf. Derzeit sind die Versionsnummern der abgesicherten Ausgaben nur für Oracle-Kunden einsehbar. Oracle rät Admins zu einer zügigen Aktualisierung, da bereits Proof-of-Concept-Code kursiert.

In den WLS9_ASYNC- und WLS-WSAT-Komponenten von WebLogic Server befindet sich die Schwachstelle. Angreifer müssten für einen Angriff lediglich präparierte Anfragen an einen verwundbaren Server schicken. Bei Erfolg, könnten sie Schadcode ausführen, sodass in so einem Fall ein Server in der Regel als kompromittiert gilt.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE