int(870)

Boletines de Vulnerabilidades


Denegación de servicio en WebLogic Server y WebLogic Express

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado WebLogic Server 8.1<=SP4
WebLogic Express 8.1<=SP4

Descripción

Se ha descubierto una vulnerabilidad en las versión 8.1 de WebLogic Server y WebLogic Express. La vulnerabilidad sólo se puede dar en sitios Web que contengan aplicaciones protegidas con SSL.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto, navegando por una aplicación Web y éste contenga páginas protegidas con SSL, provocar que el servidor falle a la hora de cerrar la conexión mediante determinadas acciones. Esto podría provocar que WebLogic Server llegue al límite de sockets y no pueda aceptar nuevas peticiones.

Solución



Actualización de Software

BEA
WebLogic Server 8.1 SP4
ftp://ftpna.beasys.com/pub/releases/security/CR215121_81sp4.jar
WebLogic Express 8.1 SP4
ftp://ftpna.beasys.com/pub/releases/security/CR215121_81sp4.jar

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

BEA Security Advisory BEA05-61.01
http://dev2dev.bea.com/pub/advisory/134

BEA Security Advisory BEA04-61.00
http://dev2dev.bea.com/pub/advisory/7

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-06-16
2.0 Añadido aviso BEA05-61.01. Versiones SP3 y SP4 también se ven afectadas. 2005-08-18

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT