Security Lab

Уязвимость при обработке сертификатов в BEA WebLogic

Дата публикации:17.01.2007
Всего просмотров:1219
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-0408
CVE-2007-0409
CVE-2007-0410
CVE-2007-0411
CVE-2007-0412
CVE-2007-0413
CVE-2007-0414
CVE-2007-0415
CVE-2007-0416
CVE-2007-0417
CVE-2007-0418
CVE-2007-0419
CVE-2007-0420
CVE-2007-0421
CVE-2007-0422
CVE-2007-0423
CVE-2007-0424
CVE-2007-0425
CVE-2007-0426
CVE-2007-4613
CVE-2007-4614
CVE-2007-4618
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: BEA WebLogic Server 6.x
BEA WebLogic Server 7.x
BEA WebLogic Express 6.x
BEA WebLogic Express 7.x
BEA WebLogic Server 8.x
BEA WebLogic Express 8.x
BEA WebLogic Server 9.x
BEA WebLogic Express 9.x
BEA WebLogic Portal 9.x
BEA JRockit 1.x
Уязвимые версии:
BEA WebLogic Server 8.1 - 8.1 SP4
BEA WebLogic Express 8.1 - 8.1 SP4

Описание:
Уязвимость позволяет удаленному пользователю получить неавторизованный доступ к приложению.

Уязвимость существует из-за ошибки при проверке подлинности клиентских сертификатов при повторном использовании соединений из кеша. Если приложение позволяет нескольким клиентам получить доступ к системе посредством единого клиентского процесса, злоумышленник может с помощью недоверенного X.509 сертификата получить доступ к приложению.

URL производителя: www.bea.com

Решение: Установите исправление (8.1 SP5) с сайта производителя.

Ссылки: Certificate validation condition in WebLogic Server