Oracles WebLogic-Patch reißt neue Sicherheitslücke

Im April 2018 hat Oracle seine WebLogic Server gepatcht, um eine Sicherheitslücke, die Remote Code Execution erlaubte, zu schließen. Nun bin ich auf einen Artikel gestoßen, der andeutet, dass die Sicherheitslücke möglicherweise weiter ausgenutzt werden könnte.


Anzeige

Oracles WebLogic Server fungiert als Middle-Layer (Mittelschicht) zwischen der Frontend-Benutzeroberfläche und der Backend-Datenbank einer mehrschichtigen (multi-tier enterprise application) Unternehmensanwendung. Der WebLogic Server bietet einen kompletten Satz von Diensten für alle Komponenten und behandelt Details des Anwendungsverhaltens automatisch.

Kritische Sicherheitslücke im WebLogic-Server

In Oracles WebLogic Server-Komponenten gab es eine kritische Sicherheitslücke, die Remote Code Execution und damit Angreifern die Übernahme der WebLogic Server erlaubte. Die JAVA Deserialisierungs-Schwachstelle (CVE-2018-2628) in den WebLogic Server-Komponenten wurde im April 2018 durch Oracle gepatcht (siehe das Oracle Sicherheits-Advidsory vom April 2018). Die Oracle Fusion Middleware Risk Matrix gibt z.B. an, dass 39 Schwachstellen mit dem Update geschlossen werden.

Angeblich neue Schwachstelle gefunden

Das Ganze ist etwas nebulös: Ein Sicherheitsforscher, der behauptet, Teil des Alibaba-Sicherheitsteams zu sein, und unter dem Twitter-Handle @pyn3rd postet, hat sich Oracles WebLogic Server nochmals vorgenommen. Er behauptet nun, einen Weg gefunden zu haben, mit dem Angreifer den Sicherheitspatch umgehen und die WebLogic-Schwachstelle erneut ausnutzen können.

Das schreibt zumindest The Hacker News in diesem Artikel. Der betreffende Tweet von @pyn3rd wird aber wohl nicht mehr gefunden und scheint gelöscht zu sein (ich habe nur noch das hier gefunden). Bei erfolgreicher Ausnutzung könnte der Fehler es einem Remote-Angreifer ermöglichen, einen anfälligen Oracle WebLogic Server vollständig zu übernehmen. Die Sicherheitslücke betrifft die Versionen 10.3.6.0, 12.1.3.0, 12.2.1.2 und 12.2.1.3.

Ergänzung: Ich bin hier auf einen Beitrag gestoßen, der noch ein paar Details zu einer Sicherheitslücke  CVE-2018-2879 im Oracle Access Manager enthält. Aktuell ist mir unklar, ob der im Artikel angesprochene Patch das Problem behebt (steht im Widerspruch zu obigem Tweet). Wer also in diesem Bereich als Administrator aktiv ist, sollte hoffen, dass Oracle hoffentlich bald ein Sicherheits-Advisory und falls verfügbar ein Update bereitstellt. Ergänzung: The Register bringt hier die Info, dass man patchen sollte.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.