Lücken in Bea WebLogic bringen Unternehmen in Gefahr

Manfred Kohlen,
SicherheitSicherheitsmanagementSoftware

Zwar spricht BEA Systems vor allem Großunternehmen mit seiner Software an und ist mit seinen Programmen daher auch nicht so anfällig wie Massensoftware a la Windows. Doch das tut nichts zur Sache, erklären Sicherheitsexperten.

Nachdem BEA in großen Tönen von der Beteiligung der Mitarbeiter an Unternehmens-Entscheidungen durch Web2-Techniken tönte, machten sich die Sicherheits-Experten auf, in der Software des Unternehmens nach Fehlern zu fahnden. Zwar sind die Web2-Produkte der Reihe AquaLogic nicht betroffen, in vielen Versionen des herkömmlichen Produkts WebLogic existiert aber gleich eine Reihe von Sicherheitslücken. Über diese können Angreifer unverschlüsselt Informationen auslesen oder Denial-of-Service Angriffe durchführen.

Das kann in den Versionen 6 bis 10 von WebLogic passieren, weil dessen SSL-Verschlüsselungstechnik nicht genügend “SSL Ciphers” vorhanden sind. Alle WebLogic-Server mit diesen Versionsnummern schalten am Ende der “Ciphers” auf einen Null-Schlüssel – womit die Daten schließlich unverschlüsselt übertragen werden.

In den WebLogic-Versionen 6 und 7 erlaubt ein Programmierfehler bei der Verarbeitung von Kopfzeilen eine DoS-Attacke durch Pufferüberlauf, und ein weiterer Bug führt zum Absturz von WebLogic 6 bis 8 – Genaueres darüber berichten aber selbst die Secunia-Experten nicht.

BEA bietet auf seiner Entwickler-Website schon entsprechende Patches an – wer sie installiert, dürfte also wieder eine sichere Firmenumgebung haben. (mk)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen