Oracle warnt vor Exploit gegen WebLogic

Mit einem Sicherheitsalarm außer der vierteljährlichen Reihe reagiert Oracle auf ein akutes, kritisches Sicherheitsproblem. Bereits Mitte letzter Woche hatte ein Hacker mit dem Pseudonym KingCope einen Exploit veröffentlicht, der einen Pufferüberlauf in Oracle WebLogic auslösen kann, das früher unter Bea WebLogc firmierte. Jetzt erklärt der Datenbankspezialist, wie sich seine Kunden vor der akuten Gefahr schützen können.

Das Apache-Plugin der WebLogic Versionen 6.1 bis 10 überprüft offenbar die Länge der übergebenen Parameter nicht, was zu einem Pufferüberlauf führen kann. Dies lässt sich übers Netz und ohne Benutzer-Account ausnutzen. Oracle bewertet das Problem in der Sicherheitsmetrik CVSS zwar mit dem höchstmöglichen Rating 10, lässt aber offen, wie es, wie von KingCope behauptet, zum Einschleusen von Code führen kann. Einen Patch gibt es noch nicht; bis zu dessen Erscheinen sollen konkrete Tipps zur Konfiguration helfen, das Risiko zu minimieren.

So empfiehlt Oracle, die Länge von URLs in der Apache-Konfiguration mit

LimitRequestLine 4000

auf 4000 Zeichen zu beschränken. Dies kann allerdings zu Problemen mit Applikationen führen, die mit längeren URLs arbeiten. Als Alternative empfiehlt der Datenbankriese den Einsatz der Apache-Firewall mod_security, um URLs zu filtern.

Wann man einen Patch liefern wird, der die Ursache des Fehlers behebt, verrät Oracle noch nicht. Er soll aber so bald wie möglich, also außerhalb der vierteljährlichen Patchdays, veröffentlicht werden. Der letzte Patchday war erst vorz wei Wochen und brachte den Oracle-Kunden immerhin 45 Sicherheitsfixes.

Siehe dazu auch:

• Exploit für Pufferüberlauf in BEA WebLogic veröffentlicht auf heise Security
• Oracle Security Alert for CVE-2008-3257, Oracles Sicherheitswarnung
• Security vulnerability in WebLogic plug-in for Apache, Sicherheitsnotiz mit konkreten Empfehlungen
• Security Alert for CVE-2008-3257 Released, Eintrag in Oracles Security-Blog

(ju)