Fuga de información en Bea Weblogic Server y Express
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Aumento de la visibilidad |
Dificultad |
Avanzado |
Requerimientos del atacante |
Acceso remoto con cuenta |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricante afectado |
Comercial Software |
Software afectado |
WebLogic Server&Express, 7.0 & 7.0.0.1 |
Descripción
|
Una vulnerabilidad ha sido descubierta en Bea Weblogic Server y Express que puede permitir a un usuario local obtener contraseñas del sistema. Cierta información sensible concerniente a los algoritmos de crifrado de WebLogic puede ser robada por un usuario local no privilegiado. Un atacante que tiene acceso a los archivos que contienen las contraseñas cifradas como config.xml, filerealm.properties y weblogic-rar.xml, es capaz de obtener los passwords en texto claro. |
Solución
|
Actualización de software
WebLogic Server y Express 7.0 y 7.0.0.1
Actualice a Service Pack 2 y aplique el parche siguiente:
ftp://ftpna.beasys.com/pub/releases/security/CR104520_700sp2.zip |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
NULL |
BID |
NULL |
Recursos adicionales
|
BEA SECURITY ADVISORY (BEA03-30.00) :
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-30.jsp |