Boletines de Vulnerabilidades |
Compromiso de contraseñas en BEA WebLogic 6.1, 7.0, 8.1 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Compromiso Root |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | Comercial Software |
Software afectado |
WebLogic Server & Express 8.1 <= SP2 WebLogic Server & Express 7.0 <= SP5 WebLogic Server & Express 6.1 <= SP6 |
Descripción |
|
Se ha descubierto una vulnerabilidad por la cual, bajo determinadas circunstancias, podrían escribirse en texto plano (sin cifrar) a disco ciertas contraseñas. El efecto descrito se produce cuando el administrador de nodos intenta arrancar un servidor y éste falla en las primeras fases del arranque. Bajo estas circunstancias, el nombre de usuario y la contraseña utilizados para arrancar el servidor pueden quedar escritos en un fichero de texto del disco. Un atacante con conocimiento del sistema podría programar un ataque aprovechando un fallo conocido en el arranque de un servidor, obteniendo así el nombre de usuario y la contraseña. |
|
Solución |
|
Actualización de software BEA WebLogic Server y Express 8.1 Tras haber actualizado a Service Pack 2, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR127930_81sp2.zip BEA WebLogic Server and Express 7.0 Tras haber actualizado a Service Pack 5, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR127930_70sp5.zip BEA WebLogic Server and Express 6.1 Tras haber actualizado a Service Pack 6, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR127930_61sp6.zip Otras descargas de BEA Puede obtener los distintos Service Pack en la siguiente dirección http://commerce.beasys.com/showallversions.jsp?family=WLS |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
BEA Security advisory BEA04-51.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_51.00.jsp BEA Security Advisory BEA05-51.01 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA05_51.01.jsp |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2004-02-02 |
1.1 | Aviso actualizado por BEA (BEA05-51.01) | 2005-03-29 |