Borrado de objetos de un EJB sin los permisos adecuados en BEA WebLogic Server
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Integridad |
Dificultad |
Avanzado |
Requerimientos del atacante |
Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
Comercial Software |
Software afectado |
WebLogic Server 8.1 <=SP2
WebLogic Server 7.0 <=SP4
WebLogic Server 6.1 <=SP6
WebLogic Express 8.1 <=SP2
WebLogic Express 7.0 <=SP4
WebLogic Express 6.1 <=SP6 |
Descripción
|
Se ha descubierto una vulnerabilidad en las versiones 8.1, 7.0 y 6.1 de WebLogic Server y WebLogic Express. La vulnerabilidad afecta a sitios con EJBs que contienen aplicaciones que ejecutan el método remove() y podría permitir a un atacante remoto sin permisos para ejecutar el método remove() borrar el objeto. |
Solución
|
Los usuarios de WebLogic Server y WebLogic Express version 7.0 deben instalar el Service Pack 5.
Actualización de software
BEA
BEA WebLogic Server 6.1
BEA WebLogic Express 6.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_610sp6.jar
BEA WebLogic Server 8.1
BEA WebLogic Express 8.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_810sp2.jar |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
NULL |
BID |
NULL |
Recursos adicionales
|
BEA Systems Inc. Security Advisory BEA04-57.00
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_57.00.jsp |