Érintett rendszerek
AquaLogic Data Service IntegratorAquaLogic Data Services Platform
BEA
JRockit
Oracle
WebLogic Portal
WebLogic Server
Érintett verziók
BEA WebLogic Portal 8.x
BEA AquaLogic Data Services Platform 3.x
BEA AquaLogic Data Service Integrator 10.x
BEA WebLogic Server 7.x, 8.x, 9.x, 10.x
Oracle JRockit 1.x
Összefoglaló
Több sérülékenységet fedeztek fel az Oracle BEA WebLogic termékekben. Egynek ismeretlen hatása van, a többit kihasználva, rosszindulatú felhasználók emelt szintű jogosultságokat szerezhetnek, vagy feltörhetik a sérülékeny rendszert, rosszindulatú támadók pedig megkerülhetik a biztonsági beállításokat, érzékeny információkat szerezhetnek, szolgáltatás megtagadást idézhetnek elő, vagy akár feltörhetik a sérülékeny rendszert.
Leírás
Több sérülékenységet fedeztek fel az Oracle BEA WebLogic termékekben. Egynek ismeretlen hatása van, a többit kihasználva, rosszindulatú felhasználók emelt szintű jogosultságokat szerezhetnek, vagy feltörhetik a sérülékeny rendszert, rosszindulatú támadók pedig megkerülhetik a biztonsági beállításokat, érzékeny információkat szerezhetnek, szolgáltatás megtagadást idézhetnek elő, vagy akár feltörhetik a sérülékeny rendszert.
- A WebLogic Server Plugins által küldött HTTP kérések elégtelen ellenőrzését kihasználva, halom alapú puffer túlcsordulást lehet előidézni, speciálisan elkészített HTTP csomagok küldésével.
- A WebLogic Server Plugins által végzett SSL igazolások feldolgozása közbeni határérték hibát kihasználva, veremtúlcsordulást lehet előidézni.
- A WebLogic Server nem részletezett hibáját kihasználva, fel lehet törni a sérülékeny rendszert.
- Oracle WebLogic Server 10.3, minden platformon.
- Oracle WebLogic Server 10.0 – Maintenance Pack 1 minden platformon.
- Oracle WebLogic Server 9.2 – Maintenance Pack 3 minden platformon.
- Oracle WebLogic Server 9.1 minden platformon.
- Oracle WebLogic Server 9.0 minden platformon.
- Oracle WebLogic Server 8.1 – Service Pack 6, minden platformon.
- Oracle WebLogic Server 7.0 – Service Pack 7, minden platformon.
- A WebLogic Server nem részletezett hibáját kihasználva, meg lehet szerezni a weboldalak forráskódját.
- Oracle WebLogic Server 10.3, minden platformon.
- Oracle WebLogic Server 10.0 – Maintenance Pack 1 minden platformon.
- Oracle WebLogic Server 9.2 – Maintenance Pack 3 minden platformon.
- Oracle WebLogic Server 9.1 minden platformon.
- Oracle WebLogic Server 9.0 minden platformon.
- Egy nem részletezett biztonsági probléma található a WebLogic Server web services security-ben. Jelenleg nincs több információ.
- Oracle WebLogic Server 10.3, minden platformon.
- Több sérülékenység is található a JRockit-ban, amiket kihasználva, rosszindulatú támadók megkerülhetik a biztonsági beállításokat, érzékeny infromációkat szerezhetnek, szolgáltatás megtagadást idézhetnek elő, vagy feltörhetik a sérülékeny rendszert.
- JRockit R27.6.2 és korábbi kiadások, SDK és JRE 1.4.2
- JRockit R27.6.2 és korábbi kiadások, JRE és JDK 5.0
- JRockit R27.6.2 és korábbi kiadások, JRE és JDK 6
- Az Oracle Data Service Integrator and AquaLogic Data Services Platform egy nem részletezett hibáját kihasználva, emelt szintű jogosultásgokhoz lehet jutni.
A sérülékenységet az alábbi termékekben jelentették:
- AquaLogic Oracle Data Service Integrator 10.3.0, minden platformon.
- AquaLogic Data Services Platform 3.2, minden platformon.
- AquaLogic Data Services Platform 3.0.1, minden platformon.
- AquaLogic Data Services Platform 3.0, minden platformon.
- Az Oracle BEA WebLogic Portal egy nem részletezett hibáját kihasználva, rosszindulatú felhasználók emelt szintű jogosultságot szerezhetnek. Jelenleg nincs több információ.
A sérülékenységet az alábbi termékben jelentették:
- WebLogic Portal 8.1 – Service Pack 6, minden platformon
A sérülékenységek kihasználása tetszőleges kód lefuttatását teszi lehetővé.
Az előző két sérülékenység a WebLogic Server Plugins 1.0.1166819 verziójában van, de egyéb kiadások is érintve lehetnek.
A sérülékenységet az alábbi termékekben jelentették:
A sérülékenységet az alábbi termékekben jelentették:
A sérülékenységet az alábbi termékben jelentették:
A sérülékenységet az alábbi termékekben jelentették:
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Physical/Console (Fizikai/konzol)
Remote/Network (Távoli/hálózat)
Hivatkozások
CVE-2008-5349 - NVD CVE-2008-5349
CVE-2008-5348 - NVD CVE-2008-5348
CVE-2008-5345 - NVD CVE-2008-5345
CVE-2008-5347 - NVD CVE-2008-5347
SECUNIA 32991
SECUNIA 34074
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
Egyéb referencia: secunia.com
Egyéb referencia: secunia.com
CVE-2008-5350 - NVD CVE-2008-5350
CVE-2008-5351 - NVD CVE-2008-5351
CVE-2008-5352 - NVD CVE-2008-5352
CVE-2008-5353 - NVD CVE-2008-5353
CVE-2008-5354 - NVD CVE-2008-5354
CVE-2008-5360 - NVD CVE-2008-5360
CVE-2009-0189 - NVD CVE-2009-0189
CVE-2009-0190 - NVD CVE-2009-0190
CVE-2009-1002 - NVD CVE-2009-1002
CVE-2009-1003 - NVD CVE-2009-1003
CVE-2009-1004 - NVD CVE-2009-1004
CVE-2009-1005 - NVD CVE-2009-1005
CVE-2009-1006 - NVD CVE-2009-1006
CVE-2009-1012 - NVD CVE-2009-1012
CVE-2009-1016 - NVD CVE-2009-1016
Gyártói referencia: www.oracle.com
CVE-2009-1001 - NVD CVE-2009-1001
