Раскрытие данных в BEA WebLogic

Дата публикации:
16.01.2006
Дата изменения:
10.04.2009
Всего просмотров:
2034
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
BEA WebLogic Server 6.x
BEA WebLogic Server 7.x
BEA WebLogic Server 8.x
BEA WebLogic Express 6.x
BEA WebLogic Express 7.x
BEA WebLogic Express 8.x
Уязвимые версии:
BEA WebLogic Express 6.1, 7.0 и 8.1
BEA WebLogic Server 6.1, 7.0 и 8.1

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к потенциально важным данным на системе.

Удаленный пользователь может с помощью JNDI (Java Naming and Directory Interface) получить данные о MBeanHome сайта. Эта информация может позволить злоумышленнику просмотреть конфигурационные MBean, содержащие потенциально важные данные. Удачная эксплуатация уязвимости возможна при наличии RMI (Remote Method Invocation) доступа к сайту и включенной опции anonymous admin lookup.

URL производителя: www.bea.com

Решение: Производитель рекомендует anonymous admin lookup (версии 7.x и выше) или запретить RMI доступ.

Ссылки: BEA WebLogic MBean Exposure of Configuration Information

или введите имя

CAPTCHA