Érintett rendszerek
BEAJRockit
Oracle
WebLogic Portal
WebLogic Server
Érintett verziók
BEA WebLogic Server 7.0 - 7.0 SP6, 8.1 - 8.1 SP5
BEA WebLogic Server 9.0 GA, 9.1 GA, 9.2 - 9.2 MP3, 10.0 - MP1, 10.3
Oracle JRockit
BEA WebLogic Portal 8.1 - 8.1 SP6, 9.2 - 9.2 MP3
BEA WebLogic Portal 10.0 - 10.0MP1, 10.2 - 10.2MP1, 10.3 - 10.3.1
Összefoglaló
Több sérülékenységet találtak az Oracle BEA termékekben, amiket kihasználva támadók szolgáltatás megtagadást tudnak előidézni, bizalmas információkat szerezhetnek, megkerülhetik a biztonsági korlátozásokat, módosíthatják az adatokat, vagy akár feltörhetik a rendszert.
Leírás
Több sérülékenységet találtak az Oracle BEA termékekben, amiket kihasználva támadók szolgáltatás megtagadást tudnak előidézni, bizalmas információkat szerezhetnek, megkerülhetik a biztonsági korlátozásokat, módosíthatják az adatokat, vagy akár feltörhetik a rendszert.
- A JRockit többféle sérülékenységét kihasználva, rosszindulatú támadók szolgáltatás megtagadást idézhetnek elő, megtéveszthetik a felhasználókat, bizalmas információkat szerezhetnek, megkerülhetik egyes biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.
- A WebLogic Portal egy hibáját kihasználva manipulálni lehet bizonyos adatokat.
- A WebLogic Server két, WLS Console-hoz kapcsolódó hibáját kihasználva, manipulálni lehet bizonyos adatokat.
A sebezhetőségek az Oracle JRockit R27.6.4. és korábbi verzióit is érinti (JDK/JRE 6, 5, 1.4.2).
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Unknown (Ismeretlen)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2009-3399 - NVD CVE-2009-3399
CVE-2009-3396 - NVD CVE-2009-3396
CVE-2009-2625 - NVD CVE-2009-2625
SECUNIA 37102
Gyártói referencia: www.oracle.com
SECUNIA 35853
SECUNIA 36159
CVE-2009-2002 - NVD CVE-2009-2002
CVE-2009-0217 - NVD CVE-2009-0217
CVE-2009-3403 - NVD CVE-2009-3403