Oracle will Zero-Day-Lücke in WebLogic Server patchen
Oracle rückt von seinen Quartals-Sammel-Updates ab und kündigt einen Patch für den WebLogic Server an, um eine kritische Schwachstelle zu fixen.
(Bild: Oracle)
Oracles WebLogic Server ist verwundbar. Die kritische Lücke mit der Kennung CVE-2015-4852 soll in den Versionen 10.3.6.0, 12.1.1.0, 12.1.2.0 und 12.1.3.0 klaffen. Dabei handelt es sich um eine Zero-Day-Schwachstelle in der weit verbreiteten Java-Bibliothek Common Collections.
Über die Lücke können Angreifer eigenen Code auf Server einschleusen. Das soll ohne Authentifizierung möglich sein. Wann der Patch verfügbar ist, will Oracle im Support-Bereich (Log-in erforderlich) bekanntgeben.
Das Update sollen ausschließlich Kunden erhalten, die durch den Extended Support oder den Premier Support von Oracle gedeckt sind. Der Soft- und Hardwarehersteller weist darauf hin, dass auch ältere Versionen des WebLogic Servers betroffen sein können.
Das Einfallstor ist die Kommunikation von Java-Anwendungen. Dabei werden Objekte in eine lineare Folge von Bytes umgewandelt. Der Empfänger kann daraus wieder aktive Objekte rekonstruieren. Das Problem ist, dass man Objekten Schadcode unterjubeln kann, denn die Java-Server-Applikationen prüfen die Vertrauenswürdigkeit oft gar nicht oder nur sehr flüchtig. (des)
