Oracle veröffentlicht außerplanmäßiges Update für WebLogic-Server

Es korrigiert einen im Oktober veröffentlichten Patch. Der lässt sich durch die Änderung eines Zeichens im Exploit-Code aushebeln. Angreifer können unter Umständen die Kontrolle über einen WebLogic-Server übernehmen.

Oracle hat ein außerplanmäßiges Sicherheitsupdate für WebLogic-Server veröffentlicht. Es soll einen offenbar unvollständigen Patch korrigieren, mit dem das Unternehmen eigentlich schon im Oktober eine öffentlich bekannte Schwachstelle beseitigen wollte. Sie wird bereits aktiv für Hackerangriffe ausgenutzt.

Oracle (Bild: Oracle)Der neue Patch mit der Kennung CVE-2020-14750 liefert zusätzliche Fixes für einen anderen Bug (CVE-2020-14882). Den hatte Oracle mit seinem Oktober-Patchday bereitgestellt – das Unternehmen veröffentlicht nur all drei Monate Sicherheitsupdates.

Die ursprüngliche Anfälligkeit erlaubt es einem Angreifer, Schadcode einzuschleusen und auf einem WebLogic-Server auszuführen. Dies funktioniert aus der Ferne, ohne Authentifizierung und mit erweiterten Nutzerrechten. Die Schwachstelle lässt sich mit einer speziell gestalteten HTTP-GET-Anfrage ausnutzen, die an die Management-Konsole des Servers gerichtet ist.

Offenbar kann die Anfälligkeit mit einem geringen Aufwand für Hackerangriffe benutzt werden. Das legen mehrere Beispiel-Exploits nahe, die innerhalb weniger Tage nach Bekanntwerden der Lücke veröffentlicht wurden. Das Sans Institute meldete zudem in der vergangenen Woche mehre Angriffe auf WebLogic-Honeypots.

Der Sicherheitsforscher Adam Boileau von Insomnia Sec fand indes heraus, dass sich der Patch für CVE-2020-14882 ohne viel Mühe aushebeln lässt. Er änderte lediglich ein Zeichen in Code eines Beispiel-Exploits. Diese neue Schwachstelle sowie die zunehmend Zahl von Angriffen auf WebLogic-Server veranlasste Oracle schließlich, einen neuen Fix zu entwickeln und ihn vor dem nächsten geplanten Patchday im Januar zu verteilen.

Betroffene Unternehmen sollten nun unverzüglich neben dem Patch für CVE-2020-14882 auch das neue Update einspielen. Laut dem Sicherheitsanbieter Spyse gibt es derzeit mehr als 3300 WebLogic-Server, die über das Internet angreifbar sind, weil CVE-2020-14882 noch nicht geschlossen wurde.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Themenseiten: Oracle, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Oracle veröffentlicht außerplanmäßiges Update für WebLogic-Server

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *