Eine Schwachstelle in Oracles WebLogic-Server wird aktuell angegriffen. Die Sicherheitslücke ist seit Mitte 2024 bekannt, Updates stehen seit dem Critical Patch Update aus dem Juli 2024 bereit.

Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Die Lücke ist damit in den „Known Exploited Vulnerabilities“-Katalog eingezogen, US-Behörden haben bis zum 4. Juni Zeit, die Schwachstelle einzuhegen.

Attackierte Sicherheitslücke in Oracle-Middleware

Die Schwachstelle befindet sich in der Oracle Fusion Middleware, konkret nennt die Schwachstellenmeldung die Komponente „Core“. Nicht authentifizierte Angreifer aus dem Netz können mittels der proprietären Protokolle T3 und IIOP zugreifen und verwundbare Oracle WebLogic-Server kompromittieren. Genauer wird der Hersteller nicht. Erfolgreiche Angriffe münden in unbefugten Zugriff auf kritische Daten oder vollständigen Zugriff auf alle verfügbaren Daten auf dem WebLogic-Server (CVE-2024-21182, CVSS 7.5, Risiko „hoch“).

Die Softwareversionen Oracle WebLogic-Server 12.2.1.4.0 und 14.1.1.0.0 sind verwundbar, möglicherweise auch andere, jedoch nicht mehr unterstützte Fassungen. IT-Verantwortliche sollten wegen der laufenden Angriffe sicherstellen, dass Oracle WebLogic-Server in ihrer Topologie auf einem aktuellen, geschützten Stand laufen.

Wie üblich erklärt die CISA nicht, wie die Angriffe aussehen oder in welchem Umfang sie stattfinden. Es gibt daher auch keine hilfreichen Hinweise auf (erfolgreiche) Angriffe, nach denen Admins suchen könnten (Indicators of Compromise, IOC).

Derzeit häufen sich die Meldungen von angegriffenen Sicherheitslücken. IT-Verantwortliche sollten daher darauf achten, die eingesetzte Software in ihren Netzen jederzeit aktuell zu halten. So wurde am Montag dieser Woche bekannt, dass eine Sicherheitslücke in Palo Alto Networks Netzwerkbetriebssystem PAN-OS bereits attackiert wird. Sie ermöglicht Angreifern die Umgehung von Sicherheitsmaßnahmen – gerade mal rund zwei Wochen, nachdem der Hersteller das Sicherheitsleck gemeldet und einen Patch bereitgestellt hat.

(dmk)

Weil Flash-Speicherchips zurzeit sehr teuer sind, halten sich SSD-Hersteller mit Neuvorstellungen zurück. In den vergangenen Jahren konnten wir alle drei Monate einen Test neuer PCIe-SSDs veröffentlichen, in diesem Jahr nicht mehr: Zum Redaktionsschluss der ursprünglich für diesen Test geplanten Ausgabe (Ende Mai 2026) hatten wir gerade einmal drei neue Modelle im Haus. Doch das Warten hat sich gelohnt. Neun neue SSDs haben wir nun versammelt: Acer FA300 und Predator GM9000, Adata XPG Mars 970 Plus, Corsair MP700 Micro, Kingspec XG7000, Kioxia Exceria G3 SSD, Lexar Ares Pro, Sandisk Optimus GX Pro 8100 und Seagate FireCuda X1070.

Die Kingspec-SSD haben wir als Vertreter günstiger China-SSDs ausgewählt – die aktuell hohen Preise verleiten so manchen Endkunden, billigere Alternativen zu suchen. Die Sandisk-SSD hingegen haben wir aus einem anderen Grund aufgenommen: Sandisk hat nach der Trennung von Western Digital die bisherigen WD-SSDs unter anderem Namen neu auf den Markt gebracht. Wir wollten schauen, ob sich die Namensänderung auf die Benchmark-Ergebnisse auswirkt.

Die Predator-SSD hat uns auf den ersten Blick überrascht. Eine SSD mit dickem Kühlkörper und einem integrierten Lüfter haben wir länger nicht mehr gesehen; wegen der energieeffizienten neuen Controller von Phison und Silicon Motion sollten diese eigentlich nicht mehr notwendig sein. Der Lüfter lässt sich über das Mainboard steuern und im normalen Betrieb dürfte er kaum stören. Bei maximaler Drehzahl aber brachte er es im Labor auf 5,5 sone – das ist laut.

Das war die Leseprobe unseres heise-Plus-Artikels „Von 1 bis 4 TByte: 18 SSDs mit PCIe 4.0 und 5.0 im Test“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

In diesem Interview spricht Richard Seidl mit Miriam Sasse über den „Patienten Agilität“. Die beiden stellen sich die Frage, ob Agilität in Unternehmen wirklich am Ende ist oder ob sie nur dringend Hilfe braucht. Mit anschaulichen Metaphern aus der Notfallmedizin befragt Miriam Sasse typische Symptome: Warum fallen Unternehmen in Krisen zurück in alte Muster? Weshalb scheint Agilität oft nicht Teil der Unternehmenskultur zu sein? Gemeinsam beleuchten sie, wie gezielte Diagnose und dosierte Maßnahmen helfen können, Teams und Prozesse nachhaltig zu stärken.

„Bei vielen heißt es schon, oh geh‘ mir weg mit agil.“ – Miriam Sasse

Dr. Miriam Sasse ist promovierte Maschinenbauerin und zertifizierter Coach. Sie begleitet Organisationen bei agiler und digitaler Transformation, mit Fokus auf Deep-Tech-Teams und Game Design. Als TEDx-Speakerin und Autorin beschäftigt sie sich mit der Zukunft von Führung und Organisationsdesign. Sie lehrt an Hochschulen und leitet die Regionalgruppe der GPM OWL.

Softwarequalität im Gespräch

Dieses Format fokussiert sich auf Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste betrachten die Dinge, die die Qualität in der Softwareentwicklung steigern.

Die aktuelle Episode ist auch auf Richard Seidls Blog verfügbar.

(mai)