Дата публикации: | 17.11.2003 |
Всего просмотров: | 1319 |
Опасность: | Средняя |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Уязвимые версии: BEA WebLogic Server 8.x,
BEA WebLogic Server 7.x,
BEA WebLogic Server 6.x,
BEA WebLogic Express 8.x,
BEA WebLogic Express 7.x,
BEA WebLogic Express 6.x
Описание: BEA выпустила исправление для BEA WebLogic Server and Express, устраняющие пять различных уязвимостей, которые могут использоваться для DoS нападения или раскрытия чувствительной информации. 1. proxy plug-in не в состоянии обработать некоторые, некорректно отформатированные URL. В результате злонамеренный пользователь может аварийно завершить работу proxy plug-in. 2. WebLogic не в состоянии правильно обработать T3 в SSL, когда URI обработчик определен как T3S. В результате удаленный пользователь может раскрыть содержание защищенных данных. 3. Пароли для внешних JMS провайдеров хранятся в открытом виде в консоли и в "config.xml" файле. 4. Node Manager не в состоянии обработать некорректные данные, типа данных, сгенерированных утилитами сканирования портов. В результате удаленный пользователь может аварийно заверишь работу или завесить Node Manager. 5. Настройка по умолчанию для сайтов раскрывает MBeanHome анонимным пользователем с JNDI с RMI доступом. В результате удаленный пользователь может раскрыть конфигурацию MBeans. URL производителя:http://www.bea.com Решение: Установите соответствующее обновление: Linux / Unix: ftp://ftpna.beasys.com/pub/releases/security/CR121341.zip Windows: ftp://ftpna.beasys.com/pub/releases/security/CR121341_win.zip Contact BEA Customer Support for domestic strength SSL. 2) For WebLogic Server and Express 8.1: ftp://ftpna.beasys.com/pub/releases/security/CR107363_810sp1.jar For WebLogic Server and Express 7.0 and 7.0.0.1: ftp://ftpna.beasys.com/pub/releases/security/CR107363_700sp4.jar 3) For WebLogic Server and Express 8.1: ftp://ftpna.beasys.com/pub/releases/security/CR124344_81sp1.jar 4) For WebLogic Server and Express 8.1: ftp://ftpna.beasys.com/pub/releases/security/CR125829_810sp1.jar For WebLogic Server and Express 7.0 and 7.0.0.1: ftp://ftpna.beasys.com/pub/releases/security/CR125829_700sp4.jar For WebLogic Server and Express 6.1: ftp://ftpna.beasys.com/pub/releases/security/CR125829_610sp5.jar 5) See original advisory for information about "best practices". http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_43.00.jsp ORIGINAL ADVISORY: Remedies available to prevent Denial of Service http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_39.00.jsp Patches available to prevent unintended use of nonencypted connection http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_40.00.jsp Patches available to protect password http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_41.00.jsp Patches available to protect Node Manager http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_42.00.jsp Workaround available to prevent Mbean exposure http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_43.00.jsp |