Security Lab

Несколько уязвимостей в BEA AquaLogic

Дата публикации:18.01.2007
Всего просмотров:2216
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-0432
CVE-2007-0433
CVE-2007-0434
Вектор эксплуатации: Локальная сеть
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: BEA AquaLogic Enterprise Security 2.x
BEA AquaLogic Service Bus 2.x
Уязвимые версии:
BEA AquaLogic Enterprise Security 2.x
BEA AquaLogic Service Bus 2.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности.

1. Уязвимость существует из-за ошибки при обработке запросов в прокси сервере. Удаленный пользователь может с помощью специально сформированного запроса обойти политики авторизации, установленные администратором AquaLogic Service Bus.

Уязвимость существует в следующих версиях:
AquaLogic Service Bus 2.0 все платформы
AquaLogic Service Bus 2.1 все платформы
AquaLogic Service Bus 2.5 все платформы

2. Уязвимость существует из-за недостаточной проверки ограничений пользователей. Пользователь с отключенной учетной записью может успешно войти в систему. Для успешной эксплуатации уязвимости Active Directory LDAP сервер должен использоваться в качестве базы для авторизации пользователей.

Уязвимость существует в следующих версиях продукта:
AquaLogic Enterprise Security 2.0
AquaLogic Enterprise Security 2.1
AquaLogic Enterprise Security 2.2

3. При большой нагрузке на сервер существует возможность сохранить некорректные значения для событий в лог файлы.
Уязвимость существует в следующих версиях продукта:
AquaLogic Enterprise Security 2.0
AquaLogic Enterprise Security 2.1
AquaLogic Enterprise Security 2.2

URL производителя: www.bea.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://dev2dev.bea.com/pub/advisory/224
http://dev2dev.bea.com/pub/advisory/221
http://dev2dev.bea.com/pub/advisory/220