Unverschlüsselte SSL-Verbindungen in Bea WebLogic
In Beas WebLogic bieten Clients möglicherweise keinen passenden Verschlüsselungsalgorithmus bei der Aushandlung von SSL-Verbindungen mit dem Server an, sodass die Kommunikation unverschlüsselt abläuft.
Das Anwendungsserversystem WebLogic von Bea enthält Schwachstellen, durch die Angreifer möglicherweise vertrauliche Daten ausspähen können. Der Hersteller hat zwei Sicherheitsmeldungen veröffentlicht, in denen er das Problem beschreibt und Abhilfe in Form von Links auf Softwareaktualisierungen anbietet.
Bea erläutert, dass SSL-Clients außerhalb der Serverumgebung unter nicht näher erläuterten Umständen nicht alle unterstützten Verschlüsselungsalgorithmen finden und dem Server bei der Aushandlung der SSL-Verbindung daher eine unvollständige Liste anbieten. Wenn der Server nun keinen passenden Algorithmus findet, läuft die folgende Client-Server-Kommunikation unverschlüsselt ab. Ein Angreifer, der etwa aus einer Man-in-the-Middle-Position die Kommunikation belauschen kann, könnte dadurch an vertrauliche Daten gelangen.
Die Lösung von Bea sieht nun vor, dass die Server die Verwendung von unverschlüsselten Verbindungen protokollieren. Außerdem können Administratoren auch die unverschlüsselte Kommunikation in der Konfiguration verbieten. Diese Funktionen rüsten Updates für die betroffenen Versionen WebLogic Server 10.0, 9.2, 9.1, 9.0, 8.1 und 7.0 sowie für WebLogic Express 8.1 und 7.0 nach. Administratoren sollten die Updates so bald wie möglich einspielen.
Siehe dazu auch:
- SSL clients may not find all possible cipher suites resulting in use of the default null cipher (no encryption), Sicherheitsmeldung von Bea
- Server may select a cipher suite that uses a null cipher for SSL communication with SSL clients, Fehlermeldung von Bea
(dmk)
