首页 -> 安全研究
安全研究
安全漏洞
WebLogic ResourceAllocationException系统密码泄露漏洞
发布日期:2003-01-11
更新日期:2003-01-17
受影响系统:
BEA Systems Weblogic Server 7.0.0.1不受影响系统:
BEA Systems Weblogic Server 7.0 SP1
BEA Systems Weblogic Server 6.1 SP3
BEA Systems Weblogic Server 6.1 SP2
BEA Systems Weblogic Server 6.1 SP1
BEA Systems Weblogic Server 6.1
BEA Systems Weblogic Server 7.0
- HP HP-UX 11i
- HP HP-UX 11.0
- IBM AIX 4.3.3
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
- RedHat Linux 7.1 x86
- RedHat Linux 6.2 x86
- RedHat Linux 6.2
- Sun Solaris 8.0
- Sun Solaris 7.0 SPARC
- Sun Solaris 2.6 SPARC
BEA Systems Weblogic Server 6.1 SP4描述:
BUGTRAQ ID: 6586
CVE(CAN) ID: CVE-2003-1093
BEA Systems WebLogic Server是一款稳定、易于管理的电子商务系统的平台,提供对Enterprise Javabeans(EJB)和J2EE广泛支持,可使用在Windows和大多数Unix/Linux操作系统上。
BEA Systems在处理异常输出时存在问题,远程攻击者可以利用这个漏洞获得系统密码信息。
当应用程序尝试把JSM消息路由通过网桥时,无论JMS目标域不存在或是配置问题不能获得JMS目标域的初始化上下文,WebLogic Server都会产生ResourceAllocationException异常,而这个异常包含了明文方式的系统密码信息。攻击者利用这个信息可以对系统进一步进行攻击。
<*来源:BEA System SECURITY ADVISORY
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=c
*>
建议:
厂商补丁:
BEA Systems
-----------
BEA Systems已经为此发布了一个安全公告(BEA03-24.00)以及相应补丁:
BEA03-24.00:Patch available to protect password
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=c
WebLogic Revisions 6.1, 6.1 Service Pack 1, 6.1 Service Pack 2, 和6.1 Service Pack 3版本需要升级到6.1 Service Pack 4。
WebLogic Revisions 7.0 Service Pack 1,和7.0.0.1版本需要升级到7.0 Service Pack 1才能采用如下补丁:
BEA Systems Weblogic Server 6.1 SP 3:
BEA Systems Weblogic Server 6.1 SP 2:
BEA Systems Weblogic Server 6.1 SP 1:
BEA Systems Weblogic Server 6.1:
BEA Systems Weblogic Server 7.0 .0.1:
BEA Systems Patch CR093060_70sp1.jar
ftp://ftpna.beasys.com/pub/releases/security/CR093060_70sp1.jar
BEA Systems Weblogic Server 7.0 SP 1:
BEA Systems Patch CR093060_70sp1.jar
ftp://ftpna.beasys.com/pub/releases/security/CR093060_70sp1.jar
BEA Systems Weblogic Server 7.0:
BEA Systems Patch CR093060_70sp1.jar
ftp://ftpna.beasys.com/pub/releases/security/CR093060_70sp1.jar
浏览次数:6967
严重程度:0(网友投票)
绿盟科技给您安全的保障