Security Lab

Раскрытие Node Manager пароля локальному пользователю в BEA WebLogic Server

Дата публикации:14.07.2003
Дата изменения:17.10.2006
Всего просмотров:1023
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Уязвимость обнаружена в BEA WebLogic Server, когда он используется совместно с Node Manager. Локальный пользователь может просмотреть Node Manager пароль.

Уязвимы системы в которых Node Manager запущен на хосте и пользователь не имеет роли WebLogic Server Admin или Operator а также пользователь имеет доступ к процессу на хосту. Согласно сообщению, keyfile пароль для Node Manager передается в открытом виде через командную строку. Локальный пользователь может просматривать командную строку запущенных процессов на сервере, включая процесс Node Manager (содержащий пароль).

Уязвимость обнаружена в BEA WebLogic Server 6.1, 7.0, и 7.0.0.1

Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда:

ftp://ftpna.beasys.com/pub/releases/security/CR093813_70sp2.zip

Ссылки: SECURITY ADVISORY (BEA03-34.00)