Множественные уязвимости в Oracle BEA WebLogic Server
| Дата публикации: | 21.01.2009 |
| Дата изменения: | 14.04.2009 |
| Всего просмотров: | 3468 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2008-5457 CVE-2008-5459 CVE-2008-5460 CVE-2008-5461 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
BEA WebLogic Server 7.x
BEA WebLogic Server 8.x BEA WebLogic Server 9.x BEA WebLogic Express 7.x BEA WebLogic Express 8.x BEA WebLogic Express 9.x BEA WebLogic Express 10.x BEA WebLogic Server 10.x |
| Уязвимые версии: Oracle WebLogic Server 10.3 Oracle WebLogic Server 10.0 включая MP1 Oracle WebLogic Server 9.2 включая MP3 Oracle WebLogic Server 9.1 Oracle WebLogic Server 9.0 Oracle WebLogic Server 8.1 включая SP6 Oracle WebLogic Server 7.0 включая SP7 Описание: 1. Уязвимость существует из-за ошибок проверки границ данных при обработке HTTP запросов в WebLogic компонентах к Web серверам Apache, Sun и IIS. Удаленный пользователь может с помощью специально сформированного HTTP запроса вызвать переполнение буфера и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за неизвестной ошибки, которая не позволяет применить политики безопасности к Web службам. Подробности уязвимости не сообщаются. Уязвимости подвержен Oracle WebLogic Server 10.3 GA. 3. Уязвимость существует из-за неизвестной ошибки связанной с JSP и сервлетами. Удаленный пользователь может получить доступ к важным данным. Уязвимости подвержен Oracle WebLogic Server версии 9.0 по 10.3 GA. 4. Уязвимость существует из-за неизвестной ошибки в WebLogic Console. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. URL производителя: www.bea.com Решение: Установите исправление с сайта производителя. Журнал изменений:
28.01.2009 |
|
| Ссылки: | Oracle WebLogic IIS connector JSESSIONID Remote Overflow Exploit |
|
|
https://support.bea.com/application_content/product_portlets/securityadvisories/2809.html https://support.bea.com/application_content/product_portlets/securityadvisories/2807.html https://support.bea.com/application_content/product_portlets/securityadvisories/2810.html https://support.bea.com/application_content/product_portlets/securityadvisories/2811.html http://jvn.jp/en/jp/JVN93431860/index.html http://www.acrossecurity.com/aspr/ASPR-2009-01-27-1-PUB.txt |