Oracle warnt vor massivem Sicherheitsloch in Weblogic

Ein Exploit, der derzeit in Hacker-Kreisen die Runde macht, gefährdet nach Angaben von Oracle »Weblogic«-Server. Angreifer erhalten ohne Authentifizierung Zugriff auf die Rechner.

Details zur Schwachstelle in Weblogic hat Oracle in einem Security-Advisory veröffentlicht. Betroffen sind Weblogic Server ab Version 6.1 bis 10.0 sowie Weblogic Express.

Oracle stuft die Sicherheitslücke als schwerwiegend ein. Dies ist unter anderem darauf zurückzuführen, dass Angriffe auf Weblogic-Server relativ einfach durchzuführen sind. Die Attacke richtet sich auf Weblogic-Server-Anwendungen, die Plug-ins für Apache-Server nutzen, die vor dem 28. Juli veröffentlicht wurden.

Die Schwachstelle erlaubt es Angreifern, sich auf Weblogic-Maschinen einzuloggen und auf dort lagernde Programme und Daten zuzugreifen, ohne sich zuvor zu authentifizieren. Nicht betroffen sind Server, auf denen das mod_security-Modul aktiviert ist.

Oracle empfiehlt zwei Wege, um Attacken zu verhindern: Zum einen das Einfügen des Parameters »LimitRequestLine 4000«in den httpd.conf-File von Apache.

Die zweite Möglichkeit ist, wie erwähnt, der Einsatz von mod_security. Dies Web-Applikations-Firewall ist als Open-Source-Software über die Modsecurity-Web-Seite erhältlich.

Modsecurity lässt sich in die Serversoftware integrieren oder als Netzwerk-Gateway implementieren. Apache fungiert in diesem Fall als Reverse-Proxy. In einem White-Paper beschreibt Ivan Ristic von Breach Security, der »Mutter« von Mod Security, die Funktionsweise und Einsatzmöglichkeiten der Software.