Множественные уязвимости в WebLogic Server / Express

Дата публикации:
14.09.2004
Всего просмотров:
1334
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: WebLogic Server / Express 6.1 SP6, 7.0 SP5, и 8.1 SP3;

Описание: Множественные уязвимости обнаружены в WebLogic. Удаленный пользователь может получить доступ к чувствительной информации.

1. Internal server objects, внедренный в JNDI дерево, не достаточно защищен. В результате удаленный пользователь может использовать специально обработанный объект, чтобы получить доступ к чувствительной информации или вызвать отказ в обслуживании.

2. Недостаточная авторизация на некоторых weblogic.Admin командах позволяет выполнить эти команды без авторизации.

3. Уязвимость возникает, когда программа запущена на операционной системе, которая использует имена файлов, чувствительные к регистру, но монтирует каталоги Web приложения на системе, которые не поддерживают имена файлов, чувствительные к регистру. Удаленный пользователь может получить доступ к некоторым защищенным URL.

4. Некоторые сценарии, которые используют для запуска некоторые утилиты командной строки и административные задачи, могут содержать пароли в открытом виде. В результате локальный пользователь может просматривать пароли, содержащиеся в сценариях, чтобы запустить некоторые утилиты командной строки и административные задачи.

5. Когда система загружается и пароль вводится через the WebLogic Administrative Console, пароль, в некоторых случаях, может быть показан на экране. В результате локальный физический пользователь может просматривать пароли.

6. Система раскрывает информацию о версии сервера в HTTP и HTTPS запросах. В результате удаленный пользователь может раскрыть системную информацию.

7. Когда роли и политики безопасности читаются из развертываемого дескриптора в процессе развертывания и происходит внутренняя ошибка в одном из средств доступа, приложение может быть установлено с "недостаточной защищенностью".

8. Когда Active Directory LDAP сервер используется как база данных аутентификации учетная запись пользователя заблокирована, но не удалена, то заблокированная учетная запись остается активной.

9. Когда отключен административный порт, удаленный пользователь в локальной сети может контролировать пакеты, чтобы просмотреть потенциально чувствительную информацию, типа системного административного пароля. Удаленный пользователь в локальной сети может также изметить информацию в процессе передачи.

URL производителя: http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-73.00.jsp

Решение:Установите соответствующее исправление (см. уведомления производителя): http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-65.00.jsp


http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-66.00.jsp


http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-67.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-68.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-69.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-70.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-71.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-72.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-73.00.jsp


или введите имя

CAPTCHA