zurück zum Artikel

Angreifer könnten WebLogic Server mit vergleichsweise wenig Aufwand attackieren und übernehmen. Nun hat Oracle Sicherheitsupdates veröffentlicht.

Oracle WebLogic Server ist über eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-2725) attackierbar. Setzen Angreifer an der Lücke an, könnten Sie Server aus der Ferne und ohne angemeldet zu sein übernehmen.

Informationen zur Sicherheitslücke gelangten an die Öffentlichkeit [1], bevor es abgesicherte Versionen gab. Jetzt hat Oracle reparierte Ausgaben des Java-EE-Anwendungsservers veröffentlicht. Die Patches erscheinen außerplanmäßig: Eigentlich veröffentlicht der Softwarehersteller nur quartalsweise Sammel-Updates.

Jetzt patchen!

In der offiziellen Sicherheitswarnung listet Oracle [2] die betroffenen Versionen 10.3.6.0.0 und 12.1.3.0.0 auf. Die Versionsnummern der abgesicherten Ausgaben sind derzeit nur für Oracle-Kunden einsehbar. Da bereits Proof-of-Concept-Code kursiert, rät Oracle Admins zu einer zügigen Aktualisierung.

Die Schwachstelle findet sich in den WLS9_ASYNC- und WLS-WSAT-Komponenten von WebLogic Server. Für einen Angriff müssten Angreifer lediglich präparierte Anfragen an einen verwundbare Server schicken. Ist das erfolgreich, könnten sie Schadcode ausführen – in so einem Fall gilt ein Server in der Regel als kompromittiert. (des [3])

URL dieses Artikels:
https://www.heise.de/-4409153

Links in diesem Artikel:
[1] https://www.heise.de/news/Oracle-WebLogic-Server-via-Zero-Day-Luecke-aus-der-Ferne-angreifbar-4408439.html
[2] https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html#AppendixFMW
[3] mailto:des@heise.de

Copyright © 2019 Heise Medien