Es wurde eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-2725) im Oracle WebLogic Server entdeckt die es Angreifern ermöglichen würde, Server aus der Ferne und ohne Anmeldung zu übernehmen. Obwohl die Informationen über die Lücke öffentlich wurden, bevor es gesicherte Versionen gab, hat Oracle nun reparierte Versionen des Java-EE-Anwendungsservers veröffentlicht. Diese Patches erscheinen außerhalb des üblichen Release-Rhythmus, da der Softwarehersteller normalerweise nur quartalsweise Sammel-Updates bereitstellt.
Jetzt patchen!
In der offiziellen Sicherheitswarnung listet Oracle die betroffenen Versionen 10․3․6.0.0 und 12․1․3.0.0 auf. Die Versionsnummern der abgesicherten Ausgaben sind derzeit nur für Oracle-Kunden einsehbar. Da bereits Proof-of-Concept-Code kursiert, rät Oracle Admins zu einer zügigen Aktualisierung.
Die Schwachstelle findet sich in den WLS9_ASYNC- und WLS-WSAT-Komponenten von WebLogic Server. Für einen Angriff müssten Angreifer lediglich präparierte Anfragen an einen verwundbare Server schicken. Ist das erfolgreich, könnten sie Schadcode ausführen ? in so einem Fall gilt ein Server in der Regel als kompromittiert.
Kommentare