Множественные уязвимости в продуктах Oracle BEA WebLogic

Дата публикации:
16.04.2009
Дата изменения:
16.04.2009
Всего просмотров:
2899
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Повышение привилегий
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
BEA JRockit 1.x
BEA WebLogic Server 7.x
BEA WebLogic Server 8.x
BEA WebLogic Server 9.x
BEA WebLogic Server 10.x
Oracle AquaLogic Data Services Platform 3.x
Oracle AquaLogic Data Service Integrator 10.x
Уязвимые версии:
BEA JRockit 1.x
BEA WebLogic Server 10.x
BEA WebLogic Server 7.x
BEA WebLogic Server 8.x
BEA WebLogic Server 9.x
Oracle AquaLogic Data Service Integrator 10.x
Oracle AquaLogic Data Services Platform 3.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, повысить свои привилегии, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке HTTP запросов в WebLogic Server Plugins. Удаленный пользователь может с помощью специально сформированного HTTP запроса вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Уязвимые приложения:

Oracle WebLogic Server 10.3
Oracle WebLogic Server 10.0 включая MP1
Oracle WebLogic Server 9.2 включая MP3
Oracle WebLogic Server 9.1
Oracle WebLogic Server 9.0
Oracle WebLogic Server 8.1 включая SP6
Oracle WebLogic Server 7.0 включая SP7

2. Уязвимость существует из-за ошибки проверки границ данных при обработке SSL сертификатов в WebLogic Server Plugins. Удаленный пользователь может с помощью специально сформированного SSL сертификата вызвать переполнение стека и выполнить произвольный код на целевой системе. Уязвимые приложения:

Oracle WebLogic Server 10.3
Oracle WebLogic Server 10.0 включая MP1
Oracle WebLogic Server 9.2 включая MP3
Oracle WebLogic Server 9.1
Oracle WebLogic Server 9.0
Oracle WebLogic Server 8.1 включая SP6
Oracle WebLogic Server 7.0 включая SP7

3. Уязвимость существует из-за неизвестной ошибки в WebLogic Server. Удаленный пользователь может скомпрометировать целевую систему. Уязвимые приложения:

Oracle WebLogic Server 10.3 для всех платформ
Oracle WebLogic Server 10.0 включая Maintenance Pack 1 для всех платформ
Oracle WebLogic Server 9.2 включая Maintenance Pack 3 для всех платформ
Oracle WebLogic Server 9.1 для всех платформ
Oracle WebLogic Server 9.0 для всех платформ
Oracle WebLogic Server 8.1 включая Service Pack 6, для всех платформ
Oracle WebLogic Server 7.0 включая Service Pack 7, для всех платформ

4. Уязвимость существует из-за неизвестной ошибки в WebLogic Server. Удаленный пользователь может просмотреть содержимое Web страниц. Уязвимые приложения:

Oracle WebLogic Server 10.3 для всех платформ
Oracle WebLogic Server 10.0 включая Maintenance Pack 1 для всех платформ
Oracle WebLogic Server 9.2 включая Maintenance Pack 3 для всех платформ
Oracle WebLogic Server 9.1 для всех платформ
Oracle WebLogic Server 9.0 для всех платформ

5. Уязвимость существует из-за неизвестной ошибки в WebLogic Server web services. Подробности уязвимости не раскрываются. Уязвимость распространяется на Oracle WebLogic Server 10.3.

6. Уязвимости существуют из-за использования уязвимой версии JRockit. Подробное описание уязвимостей:

www.securitylab.ru/vulnerability/364233.php

Уязвимые приложения:
JRockit R27.6.2 и ниже, SDK и JRE 1.4.2
JRockit R27.6.2 и ниже, JRE и JDK 5.0
JRockit R27.6.2 и ниже, JRE и JDK 6

7. Уязвимость существует из-за неизвестной ошибки в Oracle Data Service Integrator и AquaLogic Data Services Platform. Злоумышленник может повысить свои привилегии на системе. Уязвимые приложения:

AquaLogic Oracle Data Service Integrator 10.3.0 все платформы
AquaLogic Data Services Platform 3.2 все платформы
AquaLogic Data Services Platform 3.0.1 все платформы
AquaLogic Data Services Platform 3.0 все платформы

URL производителя: www.bea.com

Решение: Установите исправление с сайта производителя.

Ссылки: Secunia Research: Oracle BEA WebLogic ServerPlug-ins Integer Overflow
Secunia Research: Oracle BEA WebLogic ServerPlug-ins Certificate Buffer Overflow
http://www.oracle.com/technology/deploy/security/wls-security/1002.html
http://www.oracle.com/technology/deploy/security/wls-security/1003.html
http://www.oracle.com/technology/deploy/security/wls-security/1004.html
http://www.oracle.com/technology/deploy/security/wls-security/1005.html
http://www.oracle.com/technology/deploy/security/wls-security/1006.html
http://www.oracle.com/technology/deploy/security/wls-security/1012.html
http://www.oracle.com/technology/deploy/security/wls-security/1016.html

или введите имя

CAPTCHA