[Warning] Kritische RCE Schwachstelle in Oracle WebLogic Server
Dimitri Robl
robl at cert.at
Wed Jun 19 11:27:48 CEST 2019
19. Juni 2019
Beschreibung
Mehrere Versionen des Oracle WebLogic Servers weisen eine
Deserialization Schwachstelle in ihrem XML Decoder auf, die eine
Remote Code Execution ermöglicht. Der Angriff kann ohne
Authentifikation und über das Netzwerk erfolgen. Ob es dabei
irgendwelche Einschränkungen gibt, ist aus dem von Oracle
veröffentlichten Advisory nicht erkennbar.
CVSS3 Score: 9.8 (laut Oracle)
CVE-Nummer: CVE-2019-2729
Auswirkungen
Angreifende können Code auf dem Webserver ausführen.
Betroffene Systeme
Oracle WebLogic Server, Versionen:
* 10.3.6.0.0
* 12.1.3.0.0
* 12.2.1.3.0
Abhilfe
Updates stehen zur Verfügung und sind im unten verlinkten Advisory zu
finden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Oracle Advisory (englisch)
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html
--
// Dimitri Robl <robl at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190619/54a683e9/attachment.sig>
More information about the Warning
mailing list