Vulnerability Bulletins |
Múltiples vulnerabilidades en BEA WebLogic Server |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Denegación de Servicio |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
BEA WebLogic Server 8.1 < SP4 BEA WebLogic Server 7.0 < SP6 BEA WebLogic Server 6.1 < SP7 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en WebLogic Server 6.1, 7.0 y 8.1. Las vulnerabilidades son descritas a continuación: - BEA06-120.00: La vulnerabilidad reside en que un servlet interno incluido por defecto permite el acceso al sistema de ficheros de Windows. Un atacante local podría acceder al sistema de ficheros local. - BEA06-123.00: La vulnerabilidad reside en el parser de XML al manejar ciertos ficheros XML que previamente la aplicación que se ejecuta no ha canonicalizado. Un atacante remoto podría causar una denegación de servicio mediante un fichero XML especialmente diseñado. |
|
Solution |
|
|
Actualización de software BEA WebLogic Server 6.1 / Service Pack 7 ftp://ftpna.beasys.com/pub/releases/security/CR198547_61sp7.jar ftp://ftpna.beasys.com/pub/releases/security/CR213796_610sp7.jar WebLogic Server, WebLogic Express 8.1 / WebLogic Server and Express 8.1 Service Pack 5 WebLogic Server, WebLogic Express 7.0 / Service Pack 6 ftp://ftpna.beasys.com/pub/releases/security/CR213796_700sp6.jar |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2006-1351 CVE-2006-1352 |
| BID |
17166 17167 |
Other resources |
|
|
BEA Security Advisory (BEA06-120.01) http://dev2dev.bea.com/pub/advisory/185 BEA Security Advisory (BEA06-123.00) http://dev2dev.bea.com/pub/advisory/183 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-03-21 |
| 1.1 | CVE añadido | 2006-04-10 |
| 1.2 | Aviso actualizado por BEA (BEA06-120.01) | 2006-05-16 |