首页 -> 安全研究
安全研究
安全漏洞
BEA多个应用系统非法SSL证书链漏洞
发布日期:2003-05-14
更新日期:2003-05-16
受影响系统:
BEA Systems WebLogic Enterprise 5.1描述:
BEA Systems WebLogic Enterprise 5.0.1
BEA Systems Weblogic Server 7.0.0.1 SP2
BEA Systems Weblogic Server 7.0.0.1 SP1
BEA Systems Weblogic Server 7.0.0.1
BEA Systems Weblogic Server 7.0 SP2
BEA Systems Weblogic Server 7.0 SP1
BEA Systems Weblogic Server 7.0
BEA Systems Weblogic Server 6.1 SP4
BEA Systems Weblogic Server 6.1 SP3
BEA Systems Weblogic Server 6.1 SP2
BEA Systems Weblogic Server 6.1 SP1
BEA Systems Weblogic Server 6.1
BEA Systems Weblogic Server 6.0
BEA Systems Weblogic Server 5.1x
BEA Systems Weblogic Server 5.1 SP7
BEA Systems Weblogic Server 5.1 SP6
BEA Systems Weblogic Server 5.1 SP5
BEA Systems Weblogic Server 5.1 SP4
BEA Systems Weblogic Server 5.1 SP3
BEA Systems Weblogic Server 5.1 SP2
BEA Systems Weblogic Server 5.1 SP1
BEA Systems Weblogic Server 5.1
BEA Systems Tuxedo 8.1
BEA Systems Tuxedo 8.0
BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration,Tuxedo,和WebLogic Enterprise等。
BEA多个应用系统处理SSL实现时存在问题,远程攻击者可以利用个漏洞欺骗个人用户,以其他合法授权机构身份发布证书给用户。
次问题在"Microsoft Internet Explore SSL证书认证中间人攻击漏洞"( http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=3255 )中有详细描述,漏洞影响Tuxedo和WebLogic Server安装。
-Tuxedo安装:
无论哪个Tuxedo客户端程序(C++或Java客户端),从服务器上通过SSL接收X.509证书时可发生此问题。而且不管服务器是否为Tuxedo应用服务程序或其他非Tuxedo服务程序。此漏洞也会在Tuxedo应用服务程序在两方验证阶段从客户端程序时接收证书时发生。
-WebLogic Server安装:
当WebLogic Server接收证书时会产生此漏洞,这包括在服务器端和WEB服务器代理进行SSL通信时发生,如WebLogic Server和2-way SSL通信的客户端 ( HTTPS、IIOPS或T3S )。此漏洞也会发生在WebLogic Server fat客户端与服务器(不管此服务器是否为WebLogic服务器)端通过SSL通信时发生。
<*来源:BEA SECURITY ADVISORY
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-31.jsp
*>
建议:
厂商补丁:
BEA Systems
-----------
BEA建议采用如下补丁方案:
针对Tuxedo 8.0:
采用Rolling Patch 166或之后补丁.
Tuxedo 8.1:
采用Rolling Patch 12或之后补丁.
针对WebLogic Enterprise 5.0:
采用Rolling Patch 59或之后补丁.
针对WebLogic Enterprise 5.1:
采用Rolling Patch 145或之后补丁.
Rolling Patches可以从BEA客户支持获得,你可以连接BEA Customer Support (1-888-232-7878)或发送EMAIL到support@bea.com。完整的BEA客户支持连接号码如下:
http://www.bea.com/framework.jsp?CNT=contact_cs.htm&FP=/content/about/contact.
WebLogic Server and Express
针对WebLogic Server and Express 5.1:
升级到Service Pack 13和采用如下补丁:
ftp://ftpna.beasys.com/pub/releases/security/CR090101_src510p.zip.
针对WebLogic Server和Express 6.1:
升级到Service Pack 5.
NSAPI Plugin, ISAPI Plugin, 或Apache Plugin用户必须升级到Plugin 6.1 Service Pack 5。
针对WebLogic Server和 Express 7.0或7.0.0.1:
升级到Service Pack 2.
NSAPI Plugin, ISAPI Plugin, 或Apache Plugin用户必须升级到Plugin 7.1 Service Pack 2。
浏览次数:3652
严重程度:0(网友投票)
绿盟科技给您安全的保障