Раскрытие Node Manager пароля локальному пользователю в BEA WebLogic Server

Уязвимость обнаружена в BEA WebLogic Server, когда он используется совместно с Node Manager. Локальный пользователь может просмотреть Node Manager пароль.

Уязвимы системы в которых Node Manager запущен на хосте и пользователь не имеет роли WebLogic Server Admin или Operator а также пользователь имеет доступ к процессу на хосту. Согласно сообщению, keyfile пароль для Node Manager передается в открытом виде через командную строку. Локальный пользователь может просматривать командную строку запущенных процессов на сервере, включая процесс Node Manager (содержащий пароль).

Уязвимость обнаружена в BEA WebLogic Server 6.1, 7.0, и 7.0.0.1

Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда:

ftp://ftpna.beasys.com/pub/releases/security/CR093813_70sp2.zip