Lücken in Bea WebLogic bringen Unternehmen in Gefahr

SicherheitSicherheitsmanagementSoftware

Kaum erklärt sich ein Unternehmen für Highend-unternehmens-Software bereit, Web-2.0-Techniken in seine Tools einzubauen, sind schon die ersten Warner aktiv auf der Spur von Fehlern.

Zwar spricht BEA Systems vor allem Großunternehmen mit seiner Software an und ist mit seinen Programmen daher auch nicht so anfällig wie Massensoftware a la Windows. Doch das tut nichts zur Sache, erklären Sicherheitsexperten.

Nachdem BEA in großen Tönen von der Beteiligung der Mitarbeiter an Unternehmens-Entscheidungen durch Web2-Techniken tönte, machten sich die Sicherheits-Experten auf, in der Software des Unternehmens nach Fehlern zu fahnden. Zwar sind die Web2-Produkte der Reihe AquaLogic nicht betroffen, in vielen Versionen des herkömmlichen Produkts WebLogic existiert aber gleich eine Reihe von Sicherheitslücken. Über diese können Angreifer unverschlüsselt Informationen auslesen oder Denial-of-Service Angriffe durchführen.

Das kann in den Versionen 6 bis 10 von WebLogic passieren, weil dessen SSL-Verschlüsselungstechnik nicht genügend “SSL Ciphers” vorhanden sind. Alle WebLogic-Server mit diesen Versionsnummern schalten am Ende der “Ciphers” auf einen Null-Schlüssel – womit die Daten schließlich unverschlüsselt übertragen werden.

In den WebLogic-Versionen 6 und 7 erlaubt ein Programmierfehler bei der Verarbeitung von Kopfzeilen eine DoS-Attacke durch Pufferüberlauf, und ein weiterer Bug führt zum Absturz von WebLogic 6 bis 8 – Genaueres darüber berichten aber selbst die Secunia-Experten nicht.

BEA bietet auf seiner Entwickler-Website schon entsprechende Patches an – wer sie installiert, dürfte also wieder eine sichere Firmenumgebung haben. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen