CH azonosító
CH-12769Angol cím
Oracle WebLogic Server vulnerabilityFelfedezés dátuma
2015.11.11.Súlyosság
KözepesÉrintett rendszerek
OracleWebLogic Server
Érintett verziók
10.3.6.0, 12.1.1.0, 12.1.2.0 és 12.1.3.0. , azonban korábbi verziók is érintettek lehetnek.
Összefoglaló
A sérülékenység rosszindulatú felhasználók számára autentikáció nélkül távoli kódfuttatást tesz lehetővé.
Leírás
Az Apache Commons Components kapcsán korábban nyilvánosságra került hiba az, amely érinti a WebLogic Servert is.
A probléma az InvokerTransformer.class Java osztály nem megfelelő objektum- és memóriakezeléséből adódik.
Megoldás
Javítás még nem elérhető.
A gyártó javasolja az aktív támogatásban részesülő verziók (Premier/Extended Support) használatát.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: www.heise.de
CVE-2015-4852 - NVD CVE-2015-4852