Oracle schlägt Alarm: Notfall-Update gegen kritische Sicherheitslücke in Identity und Web Services Managern

Oracle hat in einer außergewöhnlichen Handlung, abseits des üblichen vierteljährlichen Critical Patch Update (CPU) Schedules, ein Notfall-Update veröffentlicht. Das Update adressiert eine schwerwiegende Sicherheitslücke in den Produkten Oracle Identity Manager und Oracle Web Services Manager, die Teil der Oracle Fusion Middleware sind. Die Schwachstelle betrifft im Oracle Identity Manager einen REST Web Services API-Endpunkt und im Oracle Web Services Manager die Komponente Web Services Security. Diese Verletzlichkeit ermöglicht es Angreifern, ohne vorherige Authentifizierung aus dem Internet heraus vollständige Kontrolle über verwundete Instanzen zu übernehmen. Oracle charakterisiert die Ausnutzung dieser Schwachstelle als einfach, da sie durch Akteure mit lediglich HTTP-Zugriff möglich ist. Die von der CVE (Common Vulnerabilities and Exposures) beschriebenen Details klassifizieren diese Lücke als „kritisch“ mit einem CVSS-Score von 9.8. Dieses hohe Rating unterstreicht das ernstzunehmende Risiko, das die Schwachstelle darstellt. Oracle betont in seiner Sicherheitsmitteilung, dass Angreifer aus der Ferne ohne Authentifizierung einbrechen können und anschließend Schadcode ausführen, wodurch sensible Daten potenziell kompromittiert werden könnten. Betroffen sind spezifisch die Versionen 12.2.1.4.0 von Oracle Identity Manager und 14.1.2.1.0 von Oracle Web Services Manager. Die genauen Informationen zur Patch-Verfügbarkeit sind jedoch hinter einem Login-Schutz verborgen und somit nicht öffentlich einsehbar. Die außergewöhnliche Veröffentlichung eines Updates außerhalb des regulären Patchday-Schedules signalisiert die hohe Dringlichkeit, mit der diese Sicherheitslücke behoben werden muss. Oracle rät eindringlich seinen Kunden, die bereitgestellten Updates oder Abhilfemaßnahmen umgehend anzuwenden. Obwohl bisher keine öffentlich dokumentierten Angriffe auf diese Schwachstelle existieren, sollten IT-Verantwortliche aufgrund der Schwere und des Potenzials dieser Verletzlichkeit nicht nachlässig sein. Das jüngste Beispiel einer ausgenutzten Sicherheitslücke in Oracles E-Business-Suite durch die Gruppe Cl0p im Herbst 2022, bei dem Daten von hunderten Unternehmen gestohlen und gegen Lösegeld erpresst wurden, zeigt deutlich die reale Gefahr, die solche Schwachstellen bergen. Daher ist eine prompte Reaktion und Implementierung des Notfall-Updates unerlässlich, um potenzielle Angriffe abzuwehren und sensible Daten zu schützen.

Schlagwörter: Oracle + CPU + Schedules

Wie bewerten Sie den Schreibstil des Artikels?