Kritische RCE Schwachstelle in Oracle WebLogic Server


Kritische RCE Schwachstelle in Oracle WebLogic Server

19. Juni 2019

Beschreibung

Mehrere Versionen des Oracle WebLogic Servers weisen eine Deserialization
Schwachstelle in ihrem XML Decoder auf, die eine Remote Code Execution
ermöglicht. Der Angriff kann ohne Authentifikation und über das Netzwerk
erfolgen. Ob es dabei irgendwelche Einschränkungen gibt, ist aus dem von
Oracle ver/öffentlichten Advisory nicht erkennbar.

CVSS3 Score: 9.8 (laut Oracle)
CVE-Nummer: CVE-2019-2729

Auswirkungen

Angreifende können Code auf dem Webserver ausführen.

Betroffene Systeme

Oracle WebLogic Server, Versionen:

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0

Abhilfe

Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu
finden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die „automatisches
Update“-Features von Software zu nutzen, parallel Firewall-Software aktiv und
den Virenschutz aktuell zu halten.


Informationsquelle(n):

Oracle Advisory (englisch)
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

Weiterlesen: Cert.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.