int(769)

Boletines de Vulnerabilidades


Borrado de objetos de un EJB sin los permisos adecuados en BEA WebLogic Server

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Integridad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricant afectat Comercial Software
Software afectado WebLogic Server 8.1 <=SP2
WebLogic Server 7.0 <=SP4
WebLogic Server 6.1 <=SP6
WebLogic Express 8.1 <=SP2
WebLogic Express 7.0 <=SP4
WebLogic Express 6.1 <=SP6

Descripción

Se ha descubierto una vulnerabilidad en las versiones 8.1, 7.0 y 6.1 de WebLogic Server y WebLogic Express. La vulnerabilidad afecta a sitios con EJBs que contienen aplicaciones que ejecutan el método remove() y podría permitir a un atacante remoto sin permisos para ejecutar el método remove() borrar el objeto.

Solución

Los usuarios de WebLogic Server y WebLogic Express version 7.0 deben instalar el Service Pack 5.


Actualización de software

BEA
BEA WebLogic Server 6.1
BEA WebLogic Express 6.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_610sp6.jar
BEA WebLogic Server 8.1
BEA WebLogic Express 8.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_810sp2.jar

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

BEA Systems Inc. Security Advisory BEA04-57.00
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_57.00.jsp

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2004-04-21
Ministerio de Defensa
CNI
CCN
CCN-CERT