Vulnerability Bulletins |
Compromiso de contraseñas en BEA WebLogic 6.1, 7.0, 8.1 |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Compromiso Root |
Dificulty | Experto |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
WebLogic Server & Express 8.1 <= SP2 WebLogic Server & Express 7.0 <= SP5 WebLogic Server & Express 6.1 <= SP6 |
Description |
|
Se ha descubierto una vulnerabilidad por la cual, bajo determinadas circunstancias, podrían escribirse en texto plano (sin cifrar) a disco ciertas contraseñas. El efecto descrito se produce cuando el administrador de nodos intenta arrancar un servidor y éste falla en las primeras fases del arranque. Bajo estas circunstancias, el nombre de usuario y la contraseña utilizados para arrancar el servidor pueden quedar escritos en un fichero de texto del disco. Un atacante con conocimiento del sistema podría programar un ataque aprovechando un fallo conocido en el arranque de un servidor, obteniendo así el nombre de usuario y la contraseña. |
|
Solution |
|
Actualización de software BEA WebLogic Server y Express 8.1 Tras haber actualizado a Service Pack 2, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR127930_81sp2.zip BEA WebLogic Server and Express 7.0 Tras haber actualizado a Service Pack 5, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR127930_70sp5.zip BEA WebLogic Server and Express 6.1 Tras haber actualizado a Service Pack 6, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR127930_61sp6.zip Otras descargas de BEA Puede obtener los distintos Service Pack en la siguiente dirección http://commerce.beasys.com/showallversions.jsp?family=WLS |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
BEA Security advisory BEA04-51.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_51.00.jsp BEA Security Advisory BEA05-51.01 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA05_51.01.jsp |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-02-02 |
1.1 | Aviso actualizado por BEA (BEA05-51.01) | 2005-03-29 |