Oracle patcht kritische Lücke in WebLogic Server außer der Reihe

Angreifer könnten WebLogic Server mit vergleichsweise wenig Aufwand attackieren und übernehmen. Nun hat Oracle Sicherheitsupdates veröffentlicht.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Oracle patcht kritische Lücke in WebLogic Server außer der Reihe

(Bild: geralt)

Lesezeit: 1 Min.

Oracle WebLogic Server ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-2725) attackierbar. Setzen Angreifer an der Lücke an, könnten Sie Server aus der Ferne und ohne angemeldet zu sein übernehmen.

Informationen zur Sicherheitslücke gelangten an die Öffentlichkeit, bevor es abgesicherte Versionen gab. Jetzt hat Oracle reparierte Ausgaben des Java-EE-Anwendungsservers veröffentlicht. Die Patches erscheinen außerplanmäßig: Eigentlich veröffentlicht der Softwarehersteller nur quartalsweise Sammel-Updates.

In der offiziellen Sicherheitswarnung listet Oracle die betroffenen Versionen 10.3.6.0.0 und 12.1.3.0.0 auf. Die Versionsnummern der abgesicherten Ausgaben sind derzeit nur für Oracle-Kunden einsehbar. Da bereits Proof-of-Concept-Code kursiert, rät Oracle Admins zu einer zügigen Aktualisierung.

Die Schwachstelle findet sich in den WLS9_ASYNC- und WLS-WSAT-Komponenten von WebLogic Server. Für einen Angriff müssten Angreifer lediglich präparierte Anfragen an einen verwundbare Server schicken. Ist das erfolgreich, könnten sie Schadcode ausführen – in so einem Fall gilt ein Server in der Regel als kompromittiert. (des)