int(1017)

Boletines de Vulnerabilidades


Error de validación de acceso en BEA WebLogic Server y BEA WebLogic Express

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado WebLogic Server 8.1 <=Service Pack 2
WebLogic Server 7.0 <=Service Pack 5

Descripción

Se ha descubierto una vulnerabilidad en las versiones 8.1 <=SP2 y 7.0 <=SP5 de BEA WebLogic Server y WebLogic Express. La vulnerabilidad ocurre cuando se usa un servidor LDAP como base de datos para la autenticación y la cuenta de un usuario es desactivada pero no borrada.

Bajo las circunstancias descritas el usuario cuya cuenta ha sido desactivada pero no borrada podrá continuar accediendo a WebLogic Server con todos los privilegios de que disponía antes de que se desactivase su cuenta.

Solución



Actualización de software

BEA
WebLogic Server 7.0 Service Pack 5
ftp://ftpna.beasys.com/pub/releases/security/wlSecurityProviders70sp5.jar

Identificadores estándar

Propiedad Valor
CVE
BID 11168

Recursos adicionales

BEA Security Advisory BEA04-72.01
http://dev2dev.bea.com/pub/advisory/16

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-09-14
1.1 Aviso actualizado por BEA (BEA04-72.01) 2005-05-24

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT