发布日期：2003-03-18
更新日期：2003-03-25

受影响系统：

BEA Systems Weblogic Server 7.0.0.1 SP1
BEA Systems Weblogic Server 7.0.0.1
BEA Systems Weblogic Server 7.0 SP1
BEA Systems WebLogic Server for Win32 7.0.0.1 SP1
BEA Systems WebLogic Server for Win32 7.0.0.1
BEA Systems WebLogic Server for Win32 7.0 SP1
BEA Systems WebLogic Server for Win32 7.0
BEA Systems Weblogic Server 7.0
    - HP HP-UX 11i
    - HP HP-UX 11.0
    - IBM AIX 4.3.3
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
    - RedHat Linux 7.1
    - RedHat Linux 6.2
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6

不受影响系统：

BEA Systems Weblogic Server 7.0.0.1 SP2
BEA Systems Weblogic Server 7.0 SP2

描述：

---

BUGTRAQ  ID: 7130
CVE(CAN) ID: CVE-2003-1095

BEA Systems WebLogic包含多种系统集成方案，包括Server/Express/Integration等。

BEA WebLogic Web应用程序组件实现的会话持续功能存在漏洞，远程攻击者利用这个漏洞未授权访问WebLogic服务器。

当应用程序包含的WEB应用程序组件使用"memory"会话持续没有通过重启服务器来重新配置，之前登录进WEB应用程序的用户就不需要验证再次访问，即使用户已经离最后一次访问很长时间也能进行登录。

只有使用WEB应用程序，"memory"会话持续和动态重配置(即不重启进行重新配置)的系统才受此漏洞影响。

<*来源：BEA Systems Inc security advisory
  
  链接：http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-27.jsp
*>

建议：

---

厂商补丁：

BEA Systems
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，建议用户升级到最新的Service Pack：

http://commerce.beasys.com/downloads/weblogic_server.jsp#wls

浏览次数：7865
严重程度：10（网友投票）