Jetzt patchen: Kritische Lücke in Oracle WebLogic Server wird angegriffen

Das US-CERT rät zum zügigen Aktualisieren von WebLogic: Eine Lücke erlaubt unter bestimmten Voraussetzungen die Remote Code Execution.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Oracle

(Bild: dpa, Ralf Hirschberger/Illustration)

Lesezeit: 1 Min.

In den Web-Services von Oracles Java-EE-Anwendungsserver WebLogic klafft eine kritische Sicherheitslücke, die entfernten Angreifern ohne vorherige Authentifizierung das Ausführen beliebigen Codes (Remote Code Execution) ermöglichen kann. Sie fußt auf einem Deserialisierungsfehler im XMLDecoder.

Oracle hat die Lücke mit einem CVSS-v3-Score von 9.8 (von möglichen 10) bewertet. Demnach sei sie leicht ausnutzbar ("Attack Complexity: Low") und erfordere keinerlei Interaktion mit den Web Services seitens eines (befugten) Anwenders ("User Interaction: None").

Nicht nur das Oracle-Team rät Nutzern in einem Sicherheitshinweis zum sofortigen Sicherheitsupdate. Auch das US-CERT warnt vor CVE-2019-2729: Es seien bereits aktive Angriffe auf die Lücke beobachtet worden. Laut Oracle sind die WebLogic-Server-Versionen 10.3.6.0.0, 12.1.3.0.0 und 12.2.1.3.0 verwundbar. Registrierte Benutzer können abgesicherte Versionen über Oracles Update-Portal beziehen. (ovw)