Дата публикации: | 19.05.2006 |
Всего просмотров: | 2604 |
Опасность: | Низкая |
Наличие исправления: | Инстуркции по устранению |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-2546 CVE-2006-2461 CVE-2006-2462 CVE-2006-2464 CVE-2006-2466 CVE-2006-2467 CVE-2006-2468 CVE-2006-2469 CVE-2006-2470 CVE-2006-2472 CVE-2006-2471 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Раскрытие важных данных Раскрытие системных данных Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
BEA WebLogic Server 6.x
BEA WebLogic Server 7.x BEA WebLogic Express 6.x BEA WebLogic Express 7.x BEA WebLogic Server 8.x BEA WebLogic Express 8.x BEA WebLogic Server 9.x BEA WebLogic Express 9.x |
Уязвимые версии: BEA WebLogic Express 6.x, 7.x, 8.x, 9.x BEA WebLogic Server 6.x, 7.x, 8.x, 9.x Описание: 1. Уязвимость существует из-за того, что данные JTA транзакций могут передаваться по небезопасным каналам. Удаленный пользователь может получить доступ к важным данным. 2. Уязвимость существует в механизме QoS в client connection manager. Данные транзакции могут быть посланы по незащищенному каналу. 3. Уязвимость существует в механизме сброса административного пароля. Пароль администратора может быть сохранен в открытом виде в каталоге домена. 4. Уязвимость существует при обработке JavaServer Pages, содержащих ошибки при компиляции. Удаленный пользователь может получить доступ к содержимому ".jsp" файлов. 5. Уязвимость позволяет злоумышленнику получить данные о внутреннем IP адресе сервера при подключении к серверу через административную консоль. 6. Доменное имя отображается некорректно при входе в систему из-под административной консоли с использованием HTTP/HTTPS. 7. Уязвимость существует из-за того, что логин и пароль записываются в открытом виде в лог файл в случае возникновения ошибки во время доступа к JWS (Java Web Service) или Web приложениям, использующим HTTP обработчики WebLogic Server. 8. Административная консоль некорректно применяет JDBC политики. Злоумышленник может получить доступ к важным данным. 9. Обнаружены некоторые ошибки, позволяющие раскрыть, в некоторых ситуация, внутреннюю топологию сети. 10. Уязвимость существует из-за недостаточной защиты частных ключей. Злонамеренное приложение, запущенное на сервере, может расшифровать частный ключ. 11. Системный пароль отображается в консоли, когда администратор использует скрипт "stopWebLogic.sh" для остановки сервера. URL производителя: bea.com Решение: Установите исправления с сайта производителя. |
|
Ссылки: |
Sensitive internal system data may be exposed on the wire. Incorrect Quality of Service on some transaction coordination Recovering admin password can leave cleartext password on disk JSP showcode vulnerability Console displays the WebLogic Server IP address Domain name is exposed on Console login form WebLogic Server HTTP handlers log username and password on failure Console incorrectly set JDBC policies Internal network information may be externally visible Applications installed on WebLogic Server can obtain private keys The stopWebLogic.sh script echoes the system password on UNIX |