Deutsch | English

Kritische RCE Schwachstelle in Oracle WebLogic Server

19. Juni 2019

Beschreibung

Mehrere Versionen des Oracle WebLogic Servers weisen eine Deserialization Schwachstelle in ihrem XML Decoder auf, die eine Remote Code Execution ermöglicht. Der Angriff kann ohne Authentifikation und über das Netzwerk erfolgen. Ob es dabei irgendwelche Einschränkungen gibt, ist aus dem von Oracle ver/öffentlichten Advisory nicht erkennbar.

CVSS3 Score: 9.8 (laut Oracle)
CVE-Nummer: CVE-2019-2729

Auswirkungen

Angreifende können Code auf dem Webserver ausführen.

Betroffene Systeme

Oracle WebLogic Server, Versionen:

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0

Abhilfe

Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu finden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Oracle Advisory (englisch)
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/6/19 - 11:17:55
Haftungsausschluss / Datenschutzerklärung