Vulnerability Bulletins |
Visibilidad de código en BEA WebLogic Server and WebLogic Express |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
WebLogic Server 8.1 <=Service Pack 2 WebLogic Server 7.0 <=Service Pack 5 WebLogic Server 6.1 <=Service Pack 6 |
Description |
|
|
Se ha descubierto una vulnerabilidad en las versiones 8.1 <=SP2, 7.0 <=SP5 y 6.1 <=SP6 de BEA WebLogic Server y WebLogic Express. La vulnerabilidad se da cuando WebLogic Server se está ejecutando en un sistema operativo que diferencia si un nombre de archivo esta en mayúsculas o minúsculas y permite montar directorios que contengan aplicaciones Web desde un sistema operativo que no diferencia entre mayúsculas y minúsculas en los nombres de archivos. Si se da esta situación, algunos filtros URL del archivo web.xml podrían no evaluarse correctamente y, por lo tanto, quedar URLs sin protección. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener el código fuente de aquellas URLs que quedan desprotegidas. |
|
Solution |
|
|
Actualización de software BEA WebLogic Server 7.0 Service Pack 5 ftp://ftpna.beasys.com/pub/releases/security/CR128940_700sp5.jar WebLogic Server 6.1 Service Pack 6 ftp://ftpna.beasys.com/pub/releases/security/CR128940_610sp6.jar |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | 11168 |
Other resources |
|
|
BEA Security Advisory BEA04-67.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-67.00.jsp |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-09-14 |