Zum Inhalt springen
  • Von: Christian Luda
  • Infrastruktur & Middleware Anwendungsserver Datenbank Security
  • 24.06.2019

Oracle warnt vor erheblicher WebLogic-Sicherheitslücke

Aufgrund eines kritischen WebLogic-Fehlers rät Oracle dringend zur Installation von Updates.

Oracle hat am 18. Juni 2019 den Security Alert CVE-2019-2729 veröffentlicht. Die darin beschriebene Sicherheitslücke betrifft die Versionen 10.3.6.0.0, 12.1.3.0.0 und 12.2.1.3.0 des Oracle WebLogic Servers, der für die Erstellung und Bereitstellung von Unternehmensanwendungen genutzt wird. Der Hintergrund ist eine Deserialisierungsschwachstelle der von WebLogic verwendeten Klasse XMLDecoder.

Die Sicherheitslücke wird im CVVS (Common Vulnerability Scoring System) mit einem Score von 9,8 von 10 bewertet. Oracle begründet diese hohe Verwundbarkeit damit, dass potenzielle Angreifer die Schwachstelle ohne Authentifizierung durch Nutzername und Passwort aus der Ferne ausnutzen könnten.

Entsprechend rät das Unternehmen dringend dazu, die im Security Alert bereitgestellten Updates schnellstmöglich zu installieren. Weiterhin empfiehlt Oracle, Produkt-Upgrades zu planen, um sicherzustellen, dass die über den Security Alert freigegebenen Patches für die aktuell ausgeführten Versionen verfügbar sind.

Produktversionen, die nicht unter Premier oder Extended Support stehen, werden hingegen nicht auf vorhandene Schwachstellen getestet. Die Wahrscheinlichkeit, dass auch frühere Versionen betroffen sind, stuft Oracle jedoch als hoch ein und empfiehlt seinen Kunden daher, auf unterstützte Versionen zu aktualisieren.