Раскрытие данных и отказ в обслуживании в BEA WebLogic

Дата публикации:
27.03.2006
Всего просмотров:
1051
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-1351
CVE-2006-1352
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
BEA WebLogic Server 6.x
BEA WebLogic Server 7.x
BEA WebLogic Express 6.x
BEA WebLogic Express 7.x
BEA WebLogic Server 8.x
BEA WebLogic Express 8.x
Уязвимые версии:
BEA WebLogic Express 6.x, 7.x, 8.x
BEA WebLogic Server 6.x, 7.x, 8.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным на системе и вызвать отказ в обслуживании.

1. Уязвимость существует в одном из сервлетов, доступном по HTTP. Удаленный пользователь может с помощью специально сформированного URL просмотреть произвольные файлы на системе. Уязвимость обнаружена в WebLogic Server 6.1 Service Pack 7 и более ранних версиях на всех платформах.

2. Уязвимость существует из-за ошибки в XML обработчике. Удаленный пользователь может с помощью специально сформированного XML документа вызвать отказ в обслуживании приложения.

URL производителя: www.bea.com

Решение: Установите исправление с сайта производителя.

Ссылки: A default internal servlet allowed local file system access.
Certain XML documents can cause "server out of memory" errors.

или введите имя

CAPTCHA