Összefoglaló
Több sérülékenységet találtak a BEA WebLogic Serverben, amiket kihasználva, támadók megkerülhetik a biztonsági beállításokat, és feltörhetik a sérülékeny rendszert.
Leírás
Több sérülékenységet találtak a BEA WebLogic Serverben, amiket kihasználva, rosszindulatú felhasználók és támadók megkerülhetik a biztonsági beállításokat, valamint támadók feltörhetik a sérülékeny rendszert.
- Az Apachet Weblogic plug-in egy határhibáját kihasználva verem túlcsordulást okozható és feltörhető egy sérülékeny rendszer.
- Egy nem részletezett hibát kihasználva, a felhasználók adminisztrátorként férhetnek hozzá az alkalmazásokhoz, amennyiben teljesülnek bizonyos feltételek.
- Egy hiba a Bea WebLogic Server 8.1SP3 frissítésekor lehetővé teszi, hogy a korábban levédett alkalmazásokat jogosulatlan felhasználók is használhassák.
A hiba sikeres kihasználásához szükséges, hogy az auth-method (hitelesítés módja) CLIENT-CERT-re legyen állítva.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-4008 - NVD CVE-2008-4008
CVE-2008-4011 - NVD CVE-2008-4011
Gyártói referencia: support.bea.com
Gyártói referencia: support.bea.com
Gyártói referencia: support.bea.com
CVE-2008-4013 - NVD CVE-2008-4013
SECUNIA 32301