Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en BEA WebLogic Server |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | Comercial Software |
Software afectado |
BEA WebLogic Server 8.1 < SP4 BEA WebLogic Server 7.0 < SP6 BEA WebLogic Server 6.1 < SP7 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en WebLogic Server 6.1, 7.0 y 8.1. Las vulnerabilidades son descritas a continuación: - BEA06-120.00: La vulnerabilidad reside en que un servlet interno incluido por defecto permite el acceso al sistema de ficheros de Windows. Un atacante local podría acceder al sistema de ficheros local. - BEA06-123.00: La vulnerabilidad reside en el parser de XML al manejar ciertos ficheros XML que previamente la aplicación que se ejecuta no ha canonicalizado. Un atacante remoto podría causar una denegación de servicio mediante un fichero XML especialmente diseñado. |
|
Solución |
|
Actualización de software BEA WebLogic Server 6.1 / Service Pack 7 ftp://ftpna.beasys.com/pub/releases/security/CR198547_61sp7.jar ftp://ftpna.beasys.com/pub/releases/security/CR213796_610sp7.jar WebLogic Server, WebLogic Express 8.1 / WebLogic Server and Express 8.1 Service Pack 5 WebLogic Server, WebLogic Express 7.0 / Service Pack 6 ftp://ftpna.beasys.com/pub/releases/security/CR213796_700sp6.jar |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2006-1351 CVE-2006-1352 |
BID |
17166 17167 |
Recursos adicionales |
|
BEA Security Advisory (BEA06-120.01) http://dev2dev.bea.com/pub/advisory/185 BEA Security Advisory (BEA06-123.00) http://dev2dev.bea.com/pub/advisory/183 |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2006-03-21 |
1.1 | CVE añadido | 2006-04-10 |
1.2 | Aviso actualizado por BEA (BEA06-120.01) | 2006-05-16 |