Eine kritische Sicherheitslücke, welche entfernten Angreifern ohne vorherige Authentifizierung das Ausführen beliebigen Codes (Remote Code Execution) ermöglichen kann, befindet sich in den Web-Services von Oracles Java-EE-Anwendungsserver WebLogic. Entstanden ist sie durch einen Deserialisierungsfehler im XMLDecoder.

Die Lücke hat Oracle mit einem CVSS-v3-Score von 9.8 bewertet. Sie sei demnach leicht ausnutzbar und erfordere keinerlei Interaktion mit den Web Services seitens eines Anwenders.

Das Oracle-Team und das US-CERT warnt vor CVE-2019-2729 und rät Nutzern zum sofortigen Sicherheitsupdate. Aktive Angriffe auf die Lücke seien bereits beobachtet worden. Die WebLogic-Server-Versionen 10.3.6.0.0, 12.1.3.0.0 und 12.2.1.3.0 sind laut Oracle verwundbar. Über Oracles Update-Portal können registrierte Benutzer abgesicherte Versionen beziehen.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE