Multiple Products

Die Schwachstelle steckt in der Komponente Oracle Coherence, die Teil von Oracle Fusion Middleware ist und für verteiltes Zwischenspeichern (Caching), CacheStore und Methodenaufrufe (Invocation) zuständig ist. Ein Angreifer kann sie ohne gültige Zugangsdaten und allein über Netzwerkzugriff ausnutzen, und zwar über das hauseigene T3-Protokoll von Oracle sowie über HTTP. Der Angriff gelingt leicht und erlaubt es, aus der Ferne beliebigen Code auszuführen. Im Erfolgsfall übernimmt der Angreifer die betroffene Komponente vollständig und kontrolliert damit das gesamte System mit allen darauf liegenden Daten. Da Coherence in zahlreichen Oracle-Produkten verbaut ist, reicht die Wirkung über Fusion Middleware hinaus: Betroffen sind unter anderem das Oracle Utilities Framework, Oracle Retail Assortment Planning, Oracle Commerce sowie der Oracle Communications Diameter Signaling Router. Besonders kritisch ist die Lücke dort, wo der T3- oder HTTP-Zugang aus dem Netz erreichbar ist.