Oracle veröffentlicht Abwehrmaßnahmen für Zero-Day-Exploit

Nachdem im Internet Code erschienen ist, der eine Lücke im Applikationsserver WebLogic ausnutzt, hat Oracle eine Sicherheitswarnung außerhalb seines üblichen Dreimonatszyklus veröffentlicht. Zur Eile sah sich das Unternehmen genötigt, da für die Attacke kein Benutzeraccount auf dem betroffenen Rechner erforderlich ist.

Die Lücke tritt auf, wenn der WebLogic-Server zusammen mit einem Apache betrieben wird. Oracle hat sie mit dem höchstmöglichen CVSS-Eintrag 10.0 bewertet und fordert Anwender auf, umgehend Abwehrmaßnahmen zu ergreifen. Dazu gehört das Eintragen eines LimitRequestLine-Parameters in der Konfigurationsdatei des Apache. Er beschränkt die Maximallänge einer URL auf 4000 Zeichen. In Umgebungen, in denen dieser Wert nicht ausreicht, empfiehlt Oracle die Installation und das Aktivieren des [codemod_security[/code]-Moduls] für den Webserver.

Betroffen sind WebLogic-Server 6.1 bis 10.0 auf allen Plattformen mit einem Apache-Plug-in, das vor dem 28. Juli 2008 erstellt wurde. (ck)