安全研究
安全漏洞
Bea Weblogic Server DOS设备拒绝服务漏洞
发布日期:2002-01-08
更新日期:2002-01-11
受影响系统:BEA Systems Weblogic Server 6.1
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
BEA Systems Weblogic Server 6.1 SP1
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
不受影响系统:BEA Systems Weblogic Server 6.1 SP2
- Microsoft Windows NT 4.0 SP6a
BEA Systems Weblogic Server 6.1 SP2
- Microsoft Windows NT 4.0
BEA Systems Weblogic Server 6.1 SP2
- Microsoft Windows 2000 SP3
BEA Systems Weblogic Server 6.1 SP2
- Microsoft Windows 2000 Server SP2
BEA Systems Weblogic Server 6.1 SP2
- Microsoft Windows 2000 Server SP1
描述:
BUGTRAQ ID:
3816
CVE(CAN) ID:
CVE-2002-0106
BEA Systems WebLogic Server 是一个企业级的web服务器和无线应用服务器,它可以在Microsoft Windows系统以及多种Unix和Linux系统下运行。
如果WebLogin Server在Windows NT或者2000下运行,远程攻击者可以通过发送多个包含MS-DOS设备名的.jsp URL请求(例如 aux.jsp)来使其崩溃。当Weblogic Server接收到一个.jsp请求时,它会调用一个外部编译器来处理所请求的.jsp资源。如果这个.jsp资源是一个MS-DOS设备,例如 AUX, 外部编译器处理时的那个工作线程就不会终止。而Weblogic Server通常可以处理10-11个工作线程,所以当工作线程超过上述限制时,服务器就无法响应任何其他请求了。
服务器必须重新启动才能恢复WebLogic Server的正常工作。
<*来源:Peter Gründl (
pgrundl@kpmg.dk)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-01/0076.html
*>
建议:
临时解决方法:
此问题没有有效的临时解决方法,您应当尽快升级到SP2。
厂商补丁:
BEA Systems
-----------
BEA WebLogic Server 6.1 SP2已经修复了这个安全问题,请到厂商的主页下载:
http://commerce.beasys.com/downloads/weblogic_server.jsp浏览次数:3358
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |