Alert!

Oracle warnt vor Sicherheitslücke in E-Business Suite

Oracle veröffentlicht Updates eigentlich quartalsweise zum Critical-Patch-Update-Termin. Ein Patch schließt bereits jetzt eine Lücke in der E-Business-Suite.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Aufmacher Oracle-SIcherheitslücke E-Business-Suite

(Bild: Shutterstock/chanpipat)

Von
  • Dirk Knop

Eher ungewöhnlich ist eine Warnung von Oracle vor einer Sicherheitslücke in der E-Business-Suite des Herstellers – sie kommt unabhängig vom sonst gesetzten Fixtermin Oracle Critical Patch Update (CPU), der das nächste Mal im Juli stattfindet. Angreifer könnten durch die Schwachstelle ohne Authentifizierung die Oracle E-Business-Suite kompromittieren. In der Folge könnten sie unbefugt Zugriff auf kritische Daten oder alle von der E-Business-Suite erreichbaren Daten erlangen.

Aus der Beschreibung des CVE-Eintrags geht hervor, dass Angreifer die Schwachstelle sehr einfach ausnutzen könnten. Dazu sei lediglich ein Zugriff per HTTP nötig. Die Einschätzung, dass keine Anmeldung dazu nötig sei, hat einen ebenfalls unerwarteten Grund. Sie stammt daher, dass Nutzer sich selber an dem System registrieren können und damit den Zugang erhalten, der den Missbrauch der Lücke ermöglicht (CVE-2022-21500, CVSS 7.5, Risiko "hoch").

Betroffen sei insbesondere die Komponente Manage Proxies. Die unterstützten verwundbaren Versionen der Oracle E-Business-Suite sind 12.1 und 12.2. Ein lediglich Administratoren zugängliches, in Oracles Sicherheitsmeldung verlinktes Dokument erläutert die konkrete Verfügbarkeit und Anwendung von Aktualisierungen zum Abdichten des Sicherheitslecks.

Den Meldungen lässt sich nicht entnehmen, ob die Schwachstelle in der freien Wildbahn bereits aktiv für Angriffe missbraucht wird. Der Hersteller weist jedoch mit Nachdruck darauf hin, dass Administratoren die bereitstehenden Updates so schnell wie möglich installieren sollen. Dass Oracle außer der Reihe eine Sicherheitswarnung veröffentlicht, sollte die Notwendigkeit der raschen Aktualisierung ebenfalls unterstreichen.

(dmk)