Oracle patcht außer der Reihe

Eine kritische Lücke im Node Manager des WebLogic Server zwingt Oracle, seinen Drei-Monats-Zyklus zu unterbrechen und ein Update außer der Reihe zu veröffentlichen. Die Lücke lässt sich laut Warnung des Herstellers aus der Ferne ohne Anmeldung missbrauchen, um das System zu kompromttieren.

Allerdings scheint sich das auf Windows-Systemen leichter bewerkstelligen zu lassen als unter Unix-Systemen: Während Oracle für Windows-Systeme einen Risikoindex (CVSS) von 10 vergeben hat, erreicht er für Unix-Systeme nur 7,5.

Betroffen sind

• Oracle WebLogic Server 11gR1 (10.3.1 und 10.3.2)
• Oracle WebLogic Server 10gR3 10.3.0
• Oracle WebLogic Server 10.0 bis MP2
• Oracle WebLogic Server 9.0, 9.1, 9.2 bis MP3
• Oracle WebLogic Server 8.1 bis SP6
• Oracle WebLogic Server 7.0 bis SP7

Oracle empfiehlt, das Update so schnell wie möglich zu installieren. Erst Mitte Januar schloß Oracle 24 Lücken, darunter auch mehrere im WebLogic Server. Zudem wurde Mitte der Woche eine Schwachstelle in Oracle 11gR2 bekannt, durch die jedermann an System-Privilegien gelangen kann. Dafür gibt es noch keinen Patch.

Siehe dazu auch:

• Oracle Security Alert for CVE-2010-0073
• Oracle patcht 24 Lücken
• Lücke in Oracle 11gR2 ermöglicht System-Privilegien für jeden

(dab)