int(769)

Vulnerability Bulletins

Borrado de objetos de un EJB sin los permisos adecuados en BEA WebLogic Server

Vulnerability classification
Property Value
Confidence level Oficial
Impact Integridad
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer Comercial Software
Affected software WebLogic Server 8.1 <=SP2
WebLogic Server 7.0 <=SP4
WebLogic Server 6.1 <=SP6
WebLogic Express 8.1 <=SP2
WebLogic Express 7.0 <=SP4
WebLogic Express 6.1 <=SP6

Description
Se ha descubierto una vulnerabilidad en las versiones 8.1, 7.0 y 6.1 de WebLogic Server y WebLogic Express. La vulnerabilidad afecta a sitios con EJBs que contienen aplicaciones que ejecutan el método remove() y podría permitir a un atacante remoto sin permisos para ejecutar el método remove() borrar el objeto.

Solution
Los usuarios de WebLogic Server y WebLogic Express version 7.0 deben instalar el Service Pack 5.


Actualización de software

BEA
BEA WebLogic Server 6.1
BEA WebLogic Express 6.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_610sp6.jar
BEA WebLogic Server 8.1
BEA WebLogic Express 8.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_810sp2.jar

Standar resources
Property Value
CVE
BID

Other resources
BEA Systems Inc. Security Advisory BEA04-57.00
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_57.00.jsp

Version history
Version Comments Date
1.0 Aviso emitido 2004-04-21
Ministerio de Defensa
Presidencia española. Consejo de la Unión Europea
CNI
CCN
CCN-CERT