Vulnerability Bulletins |
Vulnerabilidad en BEA WebLogic |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
WebLogic Server 6.1 WebLogic Server 7.0 WebLogic Server 8.1 WebLogic Express 6.1 WebLogic Express 7.0 WebLogic Express 8.1 |
Description |
|
| Se ha descubierto un error de diseño en las versiones 6.1, 7.0 y 8.1 de WebLogic Server y WebLogic Express. La explotación de esta vulnerabilidad podría permitir a un atacante remoto acceder al Home de un MBean mediante JNDI con lo que podría visualizar gran parte de la configuración del MBean. Para poder explotar esta vulnerabilidad, el atacante debe tener acceso mediante RMI al sitio afectado. | |
Solution |
|
|
1. Proteger mediante las políticas de seguridad de la consola de administración de WebLogic Server las partes del árbol JNDI que contienen datos sensibles. En particular las entradas weblogic.management.adminhome, weblogic.management.home.localhome y weblogic.management.home deberían protegerse. 2. En WebLogic Server 8.1, el acceso anónimo puede ser desactivado poniendo el atributo Anonymous Admin Lookup Enabled a falso. 3. Denegar el acceso RMI a los clientes, por ejemplo, mediante un cortafuegos. Información relacionada con estas soluciones. Para más información al respecto visite: http://edocs.bea.com/wls/docs81/secwlres/types.html#1210004 http://e-docs.bea.com/wls/docs81/secmanage/domain.html |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
BEA Security Advisory: (BEA04-43.01) http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_43.01.jsp |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-03-11 |