Security Lab

Множественные уязвимости в BEA WebLogic

Дата публикации:26.05.2005
Всего просмотров:1432
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-1742
CVE-2005-1743
CVE-2005-1744
CVE-2005-1745
CVE-2005-1746
CVE-2005-1747
CVE-2005-1748
CVE-2005-1749
CVE-2006-0419
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: BEA WebLogic Server 6.x
BEA WebLogic Server 7.x
BEA WebLogic Express 6.x
BEA WebLogic Express 7.x
BEA WebLogic Server 8.x
BEA WebLogic Express 8.x
BEA WebLogic Portal 8.x
BEA WebLogic Server 9.x
BEA WebLogic Express 9.x
Уязвимые версии: BEA WebLogic 6.1, 7.0, 8.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к потенциально важной информации и вызвать отказ в обслуживании.

1. Пользователь с привилегиями Monitor security role может манипулировать JDBC пулами. Уязвимые приложения:
WebLogic Server / Express 8.1 Service Pack 2 (all platforms)
WebLogic Server / Express 8.1 Service Pack 3 (all platforms)

2. Ошибка при обработке исключений в security provider позволяет злоумышленнику управлять аудитом исключений. Уязвимые приложения:
WebLogic Server / Express 8.1 - Service Pack 3 (all platforms)
WebLogic Server / Express 7.0 - Service Pack 5 (all platforms)

3. Приложение не требует пройти повторную аутентификацию пользователей после изменений политик безопасности. Уязвимые приложения:
WebLogic Server / Express 7.0 - Service Pack 5 (all platforms)

4. После неудачной авторизации пароль пользователя может быть опубликован на странице авторизации. Уязвимые приложения:
WebLogic Portal 8.1 through Service Pack 3 (all platforms)

5. Ошибка при обработке файлов куки может замедлить работу кластера сайтов. Уязвимые приложения:
WebLogic Server / Express 7.0 through Service Pack 5 (all platforms)

6. Межсайтовый скриптинг возможен при обработке некоторых входных данных. Уязвимые приложения:
WebLogic Server / Express 8.1 through Service Pack 4 (all platforms)
WebLogic Server / Express 7.0 through Service Pack 6 (all platforms)

7. Удаленный неавторизованный пользователь может подключиться к LDAP серверу и получить доступ к потенциально важной информации или вызвать отказ в обслуживании. Уязвимые приложения:
WebLogic Server / Express 8.1 through Service Pack 4 (all platforms)
WebLogic Server / Express 7.0 through Service Pack 5 (all platforms)

8. Возможен отказ в обслуживании. Уязвимые приложения:
WebLogic Server / Express 6.1 Service Pack 4 (all platforms)

URL производителей: www.bea.com

Решение: Установите исправления от производителя.