Érintett rendszerek
BEAWebLogic Express
WebLogic Server
Érintett verziók
BEA WebLogic Server 7.x, 8.x, 9.x, 10.x
BEA WebLogic Express 7.x, 8.x, 9.x, 10.x
Összefoglaló
Az Oracle BEA WebLogic Server több sérülékenységét jelentették, melyet kihasználva támadók megkerülhetnek egyes biztonsági korlátozásokat, XSS támadást indíthatnak, érzékeny információkhoz juthatnak, szolgáltatás megtagadást (DoS) okozhatnak és feltörhetik a sérülékeny rendszert.
Leírás
Az Oracle BEA WebLogic Server több sérülékenységét jelentették, melyet kihasználva támadók megkerülhetnek egyes biztonsági korlátozásokat, XSS támadást indíthatnak, érzékeny információkhoz juthatnak, szolgáltatás megtagadást (DoS) okozhatnak és feltörhetik a sérülékeny rendszert.
- Az Apache, a Sun, és az IIS Web szerverekhez szánt WebLogic plug-inok határhibája a HTTP kérések feldolgozásakor kihasználható puffer túlcsordulás okozására, egy speciálisan erre a célra készített HTTP kérésen keresztül.
A sérülékenységet a következő verziókban jelentették:
- Oracle WebLogic Server 10.3
- Oracle WebLogic Server 10.0, (MP1)
- Oracle WebLogic Server 9.2, (MP3)
- Oracle WebLogic Server 9.1
- Oracle WebLogic Server 9.0
- Oracle WebLogic Server 8.1, (SP6)
- Oracle WebLogic Server 7.0, (SP7)
- Egy ismeretlen hiba azt eredményezheti, hogy a biztonsági szabályok nem érvényesülnek a web szolgáltatások esetén. Jelenleg a részletekről nincs bővebb információ.
A sérülékenységet az Oracle WebLogic Server 10.3 GA-ban jelentették minden platformon.
- Egy JSP-t és a servleteket érintő ismeretlen hibát kihasználva érzékeny információk szerezhetők meg. Jelenleg a részletekről nincs bővebb információ.
A sérülékenységet a következő verziókban jelentették:
- Oracle WebLogic Server 10.3 GA, minden platformon
- Oracle WebLogic Server 10.0, (MP1), minden platformon
- Oracle WebLogic Server 9.2 (MP3), minden platformon
- Oracle WebLogic Server 9.1, minden platformon
- Oracle WebLogic Server 9.0, minden platformon
- A WebLogic Console meghatározatlan bemenete nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kód futtatható az érintett oldallal kapcsolatosan a felhasználó böngészőjének munkamenetében.
A sérülékenységet a következő verziókban jelentették:
- Oracle WebLogic Server 10.3
- Oracle WebLogic Server 10.0 (MP1), minden platformon
- Oracle WebLogic Server 9.2 (MP3), minden platformon
- Oracle WebLogic Server 9.1, minden platformon
- Oracle WebLogic Server 9.0, minden platformon
- Oracle WebLogic Server 8.1, (SP6), minden platformon
- Oracle WebLogic Server 7.0, (SP7), minden platformon
Megoldás
Alkalmazza a javításokat (kérjük, a részletekért tekintse meg a gyártó bejelentését)!
Támadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.bea.com
Gyártói referencia: support.bea.com
Gyártói referencia: support.bea.com
Gyártói referencia: support.bea.com
CVE-2008-5457 - NVD CVE-2008-5457
CVE-2008-5459 - NVD CVE-2008-5459
CVE-2008-5460 - NVD CVE-2008-5460
CVE-2008-5461 - NVD CVE-2008-5461
SECUNIA 33526