Von außen angreifbar

Alarmstufe Rot: Oracle veröffentlicht Notfall-Workaround für 0-Day-Exploit

Oracle hat eine Sicherheits-Anweisung außerhalb der normalen Update-Zyklen zur Verfügung gestellt, nachdem eine so genannte 0-Day-Lücke im Internet auftauchte.

Die Sicherheitslücke liegt im WebLogic-Plugin für Apache der Produkte WebLogic Server und WebLogic Express (früher BEA). Die Schwachstelle lässt sich ausnutzen, um von außerhalb das System kompromittieren zu können. Aufgetaucht ist funktionierender Code auf milw0rm.com. TecChannel darf wegen §202c keinen Link darauf setzen.

Betroffen sind alle Apache-Plugins für WebLogic Server und WebLogic Express. Oracle hat eine Sicherheits-Anweisung zu Verfügung gestellt. Die Hersteller raten zur Integration der Zeile „LimitRequestLine 4000“ in der Konfigurations-Datei für Apache. Oracle glaubt, dass sich das Problem somit umgehen lasse. WebLogic-Anwender würden keine URLs brauchen, die mehr als 4000 Byte brauchen. (jdo)