Datenschutz & Sicherheit

Oracle Identity Manager: Update außer der Reihe gegen Codeschmuggel-Lücke


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Oracle hat ein Notfall-Update abseits des sonst üblichen vierteljährlichen Critical-Patch-Update (CPU) genannten Patchdays veröffentlicht. Es schließt eine Sicherheitslücke in Oracle Identity Manager und Web Services Manager, die Angreifern aus dem Netz ohne vorherige Anmeldung das vollständige Kompromittieren verwundbarer Instanzen ermöglicht.

Weiterlesen nach der Anzeige

Die CVE-Schwachstellenbeschreibung präzisiert, dass beide betroffenen Produkte Teile der Oracle Fusion Middleware sind. Im Identity Manager ist ein API-Endpunkt „REST WebServices“ anfällig, im Web Services Manager hingegen die Komponente Web Services Security. Die Schwachstelle sei einfach zu missbrauchen, durch bösartige Akteure mit HTTP-Zugriff, schreibt Oracle dort. Damit können sie Oracle Identity Manager und Web Services Manager übernehmen (CVE-2026-21992, CVSS 9.8, Risiko „kritisch“).

In der Sicherheitsmitteilung schreibt Oracle, dass die Lücke sich ohne Authentifizierung aus der Ferne missbrauchen lässt und dann in der Ausführung von eingeschleustem Schadcode münden kann. Betroffen sind Oracle Identity Manager und Oracle Web Services Manager jeweils in den Versionen 12.2.1.4.0 und 14.1.2.1.0. Die Informationen zur Patch-Verfügbarkeit sind hinter einem Login versteckt, sie sind somit nicht öffentlich zugänglich.

Jetzt aktualisieren

Wenn Oracle Updates abseits der gewohnten Patchdays veröffentlicht, deutet das darauf hin, dass es sich um wirklich zügig zu stopfende Sicherheitslücken handelt. Das Unternehmen schreibt dazu auch: „Oracle empfiehlt seinen Kunden dringend, die in diesem Sicherheitshinweis bereitgestellten Updates oder Abhilfemaßnahmen so schnell wie möglich zu installieren.“ Immerhin wird die Lücke noch nicht in freier Wildbahn angegriffen, davon schreibt der Hersteller zumindest nichts.

IT-Verantwortliche sollten die Schwachstelle nicht auf die leichte Schulter nehmen. Im vergangenen Herbst wurde eine Sicherheitslücke in Oracles E-Business-Suite bekannt, die die Cybergang Cl0p in einer Angriffswelle missbraucht hat. Daten von hunderten Unternehmen waren davon betroffen. Die Kriminellen haben die Unternehmen unter Androhung der Veröffentlichung der Daten um Lösegeld erpresst.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen