Обход ограничений доступа на запуск и остановку сервера в BEA WebLogic

Дата публикации:
12.05.2004
Дата изменения:
17.10.2006
Всего просмотров:
1159
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: BEA WebLogic 8.1 SP2 и более ранние версии, 7.0 SP5 и более ранние версии

Описание: Уязвимость обнаружена в BEA WebLogic. Удаленный авторизованный пользователь с Admin или Operator привилегиями может запустить или остановить сервера, даже если установлены ограничения доступа для этого пользователя.

Программа не выполняет ограничения доступа для подмножества Admin и Operator пользователей при запуске или остановке сервера. Могут быть уязвимы сайты, на которых были изменены роли безопасности по умолчанию для запуска и остановки сервера,.

URL производителя:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_60.00.jsp

Решение: Установите соответствующее обновление:

For WebLogic Server and WebLogic Express version 8.1, upgrade to WebLogic Server and WebLogic Express version 8.1 Service Pack 2:

ftp://ftpna.beasys.com/pub/releases/security/CR171885_810sp2.jar

WebLogic Server version 8.1 Service Pack 3 will reportedly include this fix.

For WebLogic Server and WebLogic Express version 7.0, upgrade to WebLogic Server and WebLogic Express version 7.0 Service Pack 5:

ftp://ftpna.beasys.com/pub/releases/security/CR171885_70sp5.jar


Ссылки: BEA04-60.00
или введите имя

CAPTCHA