Exploit-Code bereits veröffentlicht

Oracle warnt vor gefährlichem Leck im WebLogic-Server

29.07.2008
Oracle arbeitet offenbar fieberhaft an einem Patch für eine gravierende Schwachstelle in dem mit Bea übernommenen WebLogic-Server, für die bereits Exploit-Code im Internet kursiert.

Wie Oracle in einer Sicherheitswarnung (der ersten seit drei Jahren) mitteilt, liegt das Problem im Apache-Plugin für die beiden Application-Server Oracle WebLogic Server und WebLogic Express (ehemals Bea WebLogic). Dem Alert zufolge lässt sich die mit 10.0, dem höchsten Wert im Common Vulnerability Scoring System (CVSS) bewertete Schwachstelle aus der Ferne, sprich: über ein Netz ohne Authentifizierung dazu ausnutzen, die "Vertraulichkeit, Integrität und Verfügbarkeit des attackierten Systems zu kompromittieren". Ein Fix für die Sicherheitslücke ist derzeit noch nicht verfügbar. Bis dahin rät Oracle Administratoren dringend zu einem Workaround.

Der Grund für die Verzögerung: Leider sei Oracle vor der Veröffentlichung sowohl der Schwachstelle als auch des Exploit-Codes nicht über den Bug informiert worden, schreibt Eric Maurice von Oracle im Security-Blog des Unternehmens. Daher sei es dem Hersteller nicht möglich gewesen, rechtzeitig einen Fix für das Problem fertig zu stellen oder die Anwender früher über den Bug aufzuklären. (kf)