Oracle rückt von seinen Quartals-Sammel-Updates ab und kündigt einen Patch für den WebLogic Server an, um eine kritische Schwachstelle zu fixen.

Oracles WebLogic Server ist verwundbar. Die kritische Lücke mit der Kennung CVE-2015-4852 soll in den Versionen 10.3.6.0, 12.1.1.0, 12.1.2.0 und 12.1.3.0 klaffen. Dabei handelt es sich um eine Zero-Day-Schwachstelle in der weit verbreiteten Java-Bibliothek Common Collections.

Über die Lücke können Angreifer eigenen Code auf Server einschleusen. Das soll ohne Authentifizierung möglich sein. Wann der Patch verfügbar ist, will Oracle im Support-Bereich (Log-in erforderlich) bekanntgeben.

Das Update sollen ausschließlich Kunden erhalten, die durch den Extended Support oder den Premier Support von Oracle gedeckt sind. Der Soft- und Hardwarehersteller weist darauf hin, dass auch ältere Versionen des WebLogic Servers betroffen sein können.

Das Einfallstor ist die Kommunikation von Java-Anwendungen. Dabei werden Objekte in eine lineare Folge von Bytes umgewandelt. Der Empfänger kann daraus wieder aktive Objekte rekonstruieren. Das Problem ist, dass man Objekten Schadcode unterjubeln kann, denn die Java-Server-Applikationen prüfen die Vertrauenswürdigkeit oft gar nicht oder nur sehr flüchtig.