zurück zum Artikel

Oracle rückt von seinen Quartals-Sammel-Updates ab und kündigt einen Patch für den WebLogic Server an, um eine kritische Schwachstelle zu fixen.

Oracles WebLogic Server ist verwundbar [1]. Die kritische Lücke mit der Kennung CVE-2015-4852 soll in den Versionen 10.3.6.0, 12.1.1.0, 12.1.2.0 und 12.1.3.0 klaffen. Dabei handelt es sich um eine Zero-Day-Schwachstelle in der weit verbreiteten Java-Bibliothek Common Collections [2].

Über die Lücke können Angreifer eigenen Code auf Server einschleusen. Das soll ohne Authentifizierung möglich sein. Wann der Patch verfügbar ist, will Oracle im Support-Bereich [3] (Log-in erforderlich) bekanntgeben.

Das Update sollen ausschließlich Kunden erhalten, die durch den Extended Support oder den Premier Support von Oracle gedeckt sind. Der Soft- und Hardwarehersteller weist darauf hin, dass auch ältere Versionen des WebLogic Servers betroffen sein können.

Das Einfallstor ist die Kommunikation von Java-Anwendungen. Dabei werden Objekte in eine lineare Folge von Bytes umgewandelt. Der Empfänger kann daraus wieder aktive Objekte rekonstruieren. Das Problem ist, dass man Objekten Schadcode unterjubeln kann, denn die Java-Server-Applikationen prüfen die Vertrauenswürdigkeit oft gar nicht oder nur sehr flüchtig. (des [4])

URL dieses Artikels:
https://www.heise.de/-2917150

Links in diesem Artikel:
[1] http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html
[2] https://www.heise.de/news/Zero-Day-Alarm-fuer-viele-Server-mit-Java-2913605.html
[3] https://support.oracle.com/rs?type=doc&id=2075927.1
[4] mailto:des@heise.de

Copyright © 2015 Heise Medien