Множественные уязвимости в BEA WebLogic Server/Express

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности и получить доступ к важным данным на системе.

1. Уязвимость существует из-за того, что данные JTA транзакций могут передаваться по небезопасным каналам. Удаленный пользователь может получить доступ к важным данным.

2. Уязвимость существует в механизме QoS в client connection manager. Данные транзакции могут быть посланы по незащищенному каналу.

3. Уязвимость существует в механизме сброса административного пароля. Пароль администратора может быть сохранен в открытом виде в каталоге домена.

4. Уязвимость существует при обработке JavaServer Pages, содержащих ошибки при компиляции. Удаленный пользователь может получить доступ к содержимому ".jsp" файлов.

5. Уязвимость позволяет злоумышленнику получить данные о внутреннем IP адресе сервера при подключении к серверу через административную консоль.

6. Доменное имя отображается некорректно при входе в систему из-под административной консоли с использованием HTTP/HTTPS.

7. Уязвимость существует из-за того, что логин и пароль записываются в открытом виде в лог файл в случае возникновения ошибки во время доступа к JWS (Java Web Service) или Web приложениям, использующим HTTP обработчики WebLogic Server.

8. Административная консоль некорректно применяет JDBC политики. Злоумышленник может получить доступ к важным данным.

9. Обнаружены некоторые ошибки, позволяющие раскрыть, в некоторых ситуация, внутреннюю топологию сети.

10. Уязвимость существует из-за недостаточной защиты частных ключей. Злонамеренное приложение, запущенное на сервере, может расшифровать частный ключ.

11. Системный пароль отображается в консоли, когда администратор использует скрипт "stopWebLogic.sh" для остановки сервера.

URL производителя: bea.com

Решение: Установите исправления с сайта производителя.