Kritische RCE Schwachstelle in Oracle WebLogic Server

19. Juni 2019

Beschreibung

Mehrere Versionen des Oracle WebLogic Servers weisen eine Deserialization Schwachstelle in ihrem XML Decoder auf, die eine Remote Code Execution ermöglicht. Der Angriff kann ohne Authentifikation und über das Netzwerk erfolgen. Ob es dabei irgendwelche Einschränkungen gibt, ist aus dem von Oracle ver/öffentlichten Advisory nicht erkennbar.

CVSS3 Score: 9.8 (laut Oracle)
CVE-Nummer: CVE-2019-2729

Auswirkungen

Angreifende können Code auf dem Webserver ausführen.

Betroffene Systeme

Oracle WebLogic Server, Versionen:

  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.3.0

Abhilfe

Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu finden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Oracle Advisory (englisch)
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html