发布日期：2004-01-27
更新日期：2004-02-05

受影响系统：

BEA Systems WebLogic Express 8.1 SP2
BEA Systems WebLogic Express 8.1 SP1
BEA Systems WebLogic Express 7.0 SP4
BEA Systems WebLogic Express 7.0 SP3
BEA Systems WebLogic Express 7.0 SP2
BEA Systems WebLogic Express 7.0 SP1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Express 6.1 SP6
BEA Systems WebLogic Express 6.1 SP5
BEA Systems WebLogic Express 6.1 SP4
BEA Systems WebLogic Express 6.1 SP3
BEA Systems WebLogic Express 6.1 SP2
BEA Systems WebLogic Express 6.1 SP1
BEA Systems WebLogic Express 6.1
BEA Systems Weblogic Server 8.1 SP2
BEA Systems Weblogic Server 8.1 SP1
BEA Systems Weblogic Server 8.1
BEA Systems Weblogic Server 7.0 SP4
BEA Systems Weblogic Server 7.0 SP3
BEA Systems Weblogic Server 7.0 SP2
BEA Systems Weblogic Server 7.0 SP1
BEA Systems Weblogic Server 7.0
BEA Systems Weblogic Server 6.1 SP6
BEA Systems Weblogic Server 6.1 SP5
BEA Systems Weblogic Server 6.1 SP4
BEA Systems Weblogic Server 6.1 SP3
BEA Systems Weblogic Server 6.1 SP2
BEA Systems Weblogic Server 6.1 SP1
BEA Systems Weblogic Server 6.1
BEA Systems WebLogic Express 8.1
    - HP HP-UX 11i
    - HP HP-UX 11.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - RedHat Linux 8.0
    - RedHat Linux 7.3
    - RedHat Linux 7.2
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6

描述：

---

BUGTRAQ  ID: 9501
CVE(CAN) ID: CVE-2004-1757

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。

BEA Systems WebLogic存在操作员或管理员密码泄露问题，本地攻击者可以利用这个漏洞未授权访问系统。

当节点管理器尝试启动管理服务，并且在启动过程中管理服务器失败情况下，用于启动管理服务器的用户名和密码会以明文方式存放在文件系统中。攻击者可以使管理服务器启动过程中进行攻击，可获得启动用户名和密码。

<*来源：BEA SECURITY ADVISORY
  
  链接：http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-34.jsp
*>

建议：

---

厂商补丁：

BEA Systems
-----------
For WebLogic Server and Express 8.1


升级到Service Pack 2并采用此补丁

ftp://ftpna.beasys.com/pub/releases/security/CR127930_81sp2.zip

当Service Pack 3可使用时，用户可以使用它代替Service Pack 2和这个补丁.


WebLogic Server and Express 7.0


升级到Service Pack 2并采用此补丁

ftp://ftpna.beasys.com/pub/releases/security/CR127930_70sp4.zip

当Service Pack 3可使用时，用户可以使用它代替Service Pack 2和这个补丁.


WebLogic Server and Express 6.1

升级到Service Pack 2并采用此补丁

ftp://ftpna.beasys.com/pub/releases/security/CR127930_61sp6.zip

当Service Pack 3可使用时，用户可以使用它代替Service Pack 2和这个补丁.

浏览次数：7273
严重程度：0（网友投票）