30.07.2008 | Redakteur: Martin Hensel
Außerhalb des sonst üblichen dreimonatigen Zyklus hat Oracle eine Sicherheitswarnung bezüglich des Applikationsservers WebLogic veröffentlicht. Ein kürzlich aufgetauchter Zero-Day-Exploit kann Angreifern Zugriff auf das betreffende System verschaffen – ohne dass dazu ein Benutzeraccount notwendig wäre.
Oracle warnt vor einer Sicherheitslücke im Applikationsserver WebLogic. Das Unternehmen bewertet den Schwachpunkt mit einem CVSS-Rating (Common Vulnerability Scoring System) von 10.0, der höchstmöglichen Einstufung. Aufgrund der Dringlichkeit gab Oracle die Warnung außerhalb des sonst üblichen Drei-Monats-Zyklus heraus.
Das Problem beruht auf einem Zero-Day-Exploit, der Angreifern Zugriff auf das betreffende System ermöglicht. Dazu ist kein Benutzeraccount oder Passwort auf dem jeweiligen Rechner notwendig, der Angriff kann über ein Netzwerk initiiert werden. Betroffen sind WebLogic-Server der Versionen 6.1 bis 10.0 mit einem Apache-Plugin, das vor dem 28. Juli 2008 erstellt wurde.
Die Lücke tritt auf, wenn der WebLogic-Server im Zusammenspiel mit Apache zum Einsatz kommt. Oracle fordert Anwender auf, umgehend Abwehrmaßnahmen einzuleiten.
Erste Maßnahme ist die Ergänzung eines „LimitRequestLine“-Parameters in der Apache-Konfiguration, um die maximale Länge einer URL auf 4.000 Zeichen zu beschränken. Reicht dieser Wert für das jeweilige Einsatzgebiet nicht aus, wird die Installation und Aktivierung des „mod_security“-Moduls auf dem Webserver empfohlen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2014449)
