WebLogic Server

Die Schwachstelle liegt in der Sicherheitskomponente von Oracle WebLogic Server, einem weit verbreiteten Anwendungsserver für Java-Geschäftsanwendungen. Sie beruht auf der unsicheren Entserialisierung nicht vertrauenswürdiger Daten: Der Server wandelt empfangene Datenpakete in Java-Objekte zurück, ohne deren Herkunft ausreichend zu prüfen. Ein Angreifer kann ein eigens präpariertes serialisiertes Java-Objekt über das von WebLogic genutzte T3-Protokoll an den Server senden. Verarbeitet dieser das Objekt, lassen sich darüber beliebige Befehle einschleusen und ausführen. Der Fehler steht im Zusammenhang mit einer mitgelieferten Apache-Commons-Programmbibliothek, die als Baustein in den Server eingebunden ist. Der Angriff erfolgt aus der Ferne über das Netzwerk und erfordert keine vorherige Anmeldung. Im Erfolgsfall führt der Angreifer aus der Ferne eigenen Code auf dem Server aus und kann das System übernehmen. Betroffen sind ausschließlich Installationen des WebLogic-Server-Produkts.