int(587)

Boletines de Vulnerabilidades


Cross-site scripting permite comprometer cuentas de usuario en BEA WebLogic 5.1, 6.1, 7.0, 8.1

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado WebLogic Server & Express 8.1 <= SP2
WebLogic Server & Express 7.0 <= SP4
WebLogic Server & Express 6.1 <= SP6
WebLogic Server & Express 5.1 <= SP13

Descripción

Por defecto, los servidores WebLogic responden a peticiones HTTP TRACE, según lo estipulado en el RFC 2616. Sin embargo, el uso de estas peticiones, junto con algunas vulnerabilidades conocidas en navegadores de Internet, puede permitir el acceso no atuorizado a cuentas de usuario.

Solución



Actualización de software

BEA WebLogic Server y Express 8.1
Tras haber actualizado a Service Pack 2, aplique este parche
ftp://ftpna.beasys.com/pub/releases/security/CR124746_81sp2.jar

BEA WebLogic Server and Express 7.0
Tras haber actualizado a Service Pack 4, aplique este parche
ftp://ftpna.beasys.com/pub/releases/security/CR124746_70sp4.jar

BEA WebLogic Server and Express 6.1
Tras haber actualizado a Service Pack 6, aplique este parche
ftp://ftpna.beasys.com/pub/releases/security/CR124746_61sp6.jar

BEA WebLogic Server and Express 5.1
Tras haber actualizado a Service Pack 13, aplique este parche
ftp://ftpna.beasys.com/pub/releases/security/CR124746_51sp13.jar

Otras descargas de BEA
Puede obtener los distintos Service Pack en la siguiente dirección
http://commerce.beasys.com/showallversions.jsp?family=WLS

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

BEA Security advisory BEA04-48.00
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_48.00.jsp

RFC 2616
http://www.ietf.org/rfc/rfc2616.txt

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-02-02

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT