Несколько уязвимостей в BEA AquaLogic

Дата публикации:
18.01.2007
Всего просмотров:
1874
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-0432
CVE-2007-0433
CVE-2007-0434
Вектор эксплуатации:
Локальная сеть
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
BEA AquaLogic Enterprise Security 2.x
BEA AquaLogic Service Bus 2.x
Уязвимые версии:
BEA AquaLogic Enterprise Security 2.x
BEA AquaLogic Service Bus 2.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности.

1. Уязвимость существует из-за ошибки при обработке запросов в прокси сервере. Удаленный пользователь может с помощью специально сформированного запроса обойти политики авторизации, установленные администратором AquaLogic Service Bus.

Уязвимость существует в следующих версиях:
AquaLogic Service Bus 2.0 все платформы
AquaLogic Service Bus 2.1 все платформы
AquaLogic Service Bus 2.5 все платформы

2. Уязвимость существует из-за недостаточной проверки ограничений пользователей. Пользователь с отключенной учетной записью может успешно войти в систему. Для успешной эксплуатации уязвимости Active Directory LDAP сервер должен использоваться в качестве базы для авторизации пользователей.

Уязвимость существует в следующих версиях продукта:
AquaLogic Enterprise Security 2.0
AquaLogic Enterprise Security 2.1
AquaLogic Enterprise Security 2.2

3. При большой нагрузке на сервер существует возможность сохранить некорректные значения для событий в лог файлы.
Уязвимость существует в следующих версиях продукта:
AquaLogic Enterprise Security 2.0
AquaLogic Enterprise Security 2.1
AquaLogic Enterprise Security 2.2

URL производителя: www.bea.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://dev2dev.bea.com/pub/advisory/224
http://dev2dev.bea.com/pub/advisory/221
http://dev2dev.bea.com/pub/advisory/220

или введите имя

CAPTCHA