Security Lab

Раскрытие пароля managed server локальным пользователям в BEA WebLogic

Дата публикации:01.02.2004
Дата изменения:17.10.2006
Всего просмотров:1395
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: BEA WebLogic 8.1 (SP2 и более ранние версии), 7.0 (SP4 и более ранние версии), 6.1 (SP6 и более ранние версии)

Описание: Уязвимость обнаружена в BEA's WebLogic Server и Express. Система может записать имя пользователя и пароль, используемый для запуска managed server, в файл в открытом виде.

Уязвимость происходит, когда node manager пытается запустить managed server, но managed server не запускается в самом начале процесса загрузки.

URL производителя: http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_51.00.jsp

Решение:

For WebLogic Server and Express 8.1, upgrade to Service Pack 2 and apply the following patch:

ftp://ftpna.beasys.com/pub/releases/security/CR12 7930_81sp2.zip

The patch will be included in Service Pack 3.


For WebLogic Server and Express 7.0, upgrade to Service Pack 4 and apply the patch:

ftp://ftpna.beasys.com/pub/releases/security/CR127930_70sp4.zip

The fix will be included in Service Pack 5 is available.


For WebLogic Server and Express 6.1, upgrade to Service Pack 6 and apply the patch:

ftp://ftpna.beasys.com/pub/releases/security/CR127930_61s p6.zip

The patch will be included within Service Pack 7.
Ссылки: SECURITY ADVISORY (BEA04-51.00)