Boletines de Vulnerabilidades |
Cross-site scripting permite comprometer cuentas de usuario en BEA WebLogic 5.1, 6.1, 7.0, 8.1 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
WebLogic Server & Express 8.1 <= SP2 WebLogic Server & Express 7.0 <= SP4 WebLogic Server & Express 6.1 <= SP6 WebLogic Server & Express 5.1 <= SP13 |
Descripción |
|
Por defecto, los servidores WebLogic responden a peticiones HTTP TRACE, según lo estipulado en el RFC 2616. Sin embargo, el uso de estas peticiones, junto con algunas vulnerabilidades conocidas en navegadores de Internet, puede permitir el acceso no atuorizado a cuentas de usuario. | |
Solución |
|
Actualización de software BEA WebLogic Server y Express 8.1 Tras haber actualizado a Service Pack 2, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_81sp2.jar BEA WebLogic Server and Express 7.0 Tras haber actualizado a Service Pack 4, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_70sp4.jar BEA WebLogic Server and Express 6.1 Tras haber actualizado a Service Pack 6, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_61sp6.jar BEA WebLogic Server and Express 5.1 Tras haber actualizado a Service Pack 13, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_51sp13.jar Otras descargas de BEA Puede obtener los distintos Service Pack en la siguiente dirección http://commerce.beasys.com/showallversions.jsp?family=WLS |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
BEA Security advisory BEA04-48.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_48.00.jsp RFC 2616 http://www.ietf.org/rfc/rfc2616.txt |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-02-02 |