Boletines de Vulnerabilidades |
Visibilidad de código en BEA WebLogic Server and WebLogic Express |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
WebLogic Server 8.1 <=Service Pack 2 WebLogic Server 7.0 <=Service Pack 5 WebLogic Server 6.1 <=Service Pack 6 |
Descripción |
|
Se ha descubierto una vulnerabilidad en las versiones 8.1 <=SP2, 7.0 <=SP5 y 6.1 <=SP6 de BEA WebLogic Server y WebLogic Express. La vulnerabilidad se da cuando WebLogic Server se está ejecutando en un sistema operativo que diferencia si un nombre de archivo esta en mayúsculas o minúsculas y permite montar directorios que contengan aplicaciones Web desde un sistema operativo que no diferencia entre mayúsculas y minúsculas en los nombres de archivos. Si se da esta situación, algunos filtros URL del archivo web.xml podrían no evaluarse correctamente y, por lo tanto, quedar URLs sin protección. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener el código fuente de aquellas URLs que quedan desprotegidas. |
|
Solución |
|
Actualización de software BEA WebLogic Server 7.0 Service Pack 5 ftp://ftpna.beasys.com/pub/releases/security/CR128940_700sp5.jar WebLogic Server 6.1 Service Pack 6 ftp://ftpna.beasys.com/pub/releases/security/CR128940_610sp6.jar |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | 11168 |
Recursos adicionales |
|
BEA Security Advisory BEA04-67.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04-67.00.jsp |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-09-14 |