Zero-Day Lücke im Oracle WebLogic Server

am 26.04.2019, einen Tag nach Erscheinen des regulären vierteljährlichen Sicherheitsupdates, hat Oracle eine weitere Sicherheitswarnung veröffentlicht. Im WebLogic Server wurde eine Lücke gefunden, mit der sich ein Schadcode ohne Authentifizierung über das Netzwerk einschleusen lässt. Diese Lücke ist daher mit dem Höchstwert von 10,0 bewertet worden. Betroffen sind die Versionen 10.3.6 und 12.1.3. Die Lücke lässt sich ausnutzen, da in den genannten Versionen die Module wls9_async_response.war und wls-wsat.war aktiv sind. Oracle stellt einen Patch für die Versionen 10.3.6 sowie 12.1.3 zur Verfügung. Dieser setzt aber den PSU 01/2019 bzw. 04/2019 voraus. In der Version 12.2.1.3 tritt die Lücke nicht auf, da dort die betroffenen, internen Anwendungen per default nicht aktiv sind. Weiterhin muss der Angreifer die Ports der Managed Server kennen und diese müssen per Netzwerk-Freischaltungen zugänglich sein. Eine Attacke über den Port des Oracle HTTP-Servers, z. B. 8888, ist nicht möglich.

Der WebLogic Server 10.3.6 ist Bestandteil der Oracle Fusion Middleware 11g Release 1 (11.1.1.7 und höher) bzw. Release 2 (11.1.2.2).

Die Robotron-Energiemarkt-Plattform verwendet die betroffene WebLogic-Version 10.3.6. Robotron hat daraufhin bereits seine Patch-Empfehlung angepasst.

Da bereits Anleitungen zur Ausnutzung der Lücke existieren, empfehlen wir, Ihre exponierten Systeme zu prüfen und nach Bedarf zu schützen.

Gerne unterstützen wir Sie bei der Analyse Ihre Systeme und bei der Planung und Durchführung der Updates.

Weitere Informationen zu dieser Sicherheitslücke finden Sie in der Veröffentlichung von Oracle.

Patch-Empfehlung für die Robotron-Energiemarkt-Plattform