安全研究
安全漏洞
BEA WebLogic Server和Express SSL客户端权限提升漏洞
发布日期:2004-01-27
更新日期:2004-02-05
受影响系统:BEA Systems WebLogic Express 7.0 SP4
BEA Systems WebLogic Express 7.0 SP3
BEA Systems WebLogic Express 7.0 SP2
BEA Systems WebLogic Express 7.0 SP1
BEA Systems WebLogic Express 7.0
BEA Systems Weblogic Server 7.0 SP4
BEA Systems Weblogic Server 7.0 SP3
BEA Systems Weblogic Server 7.0 SP2
BEA Systems Weblogic Server 7.0 SP1
BEA Systems Weblogic Server 7.0
- HP HP-UX 11i
- HP HP-UX 11.0
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 SP3
- RedHat Linux 7.2
- RedHat Linux 7.1
- RedHat Linux 7.0
- Sun Solaris 8.0
- Sun Solaris 7.0
- Sun Solaris 2.6
描述:
BUGTRAQ ID:
9502
CVE(CAN) ID:
CVE-2004-1755
BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。
BEA Systems WebLogic Server和Express存在一个安全问题,允许SSL客户端提升自己的权限。
WEB服务客户端代码由于存在一个编码错误,WEB服务fat客户端通过双向SSL使用不同客户端证书连接相同weblogic服务器时,其他不正确的用户身份可用于后续的连接。目前没有详细漏洞细节提供。
<*来源:BEA SECURITY ADVISORY
链接:
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_47.00.jsp
*>
建议:
厂商补丁:
BEA Systems
-----------
WebLogic Server and Express 7.0
升级到Service Pack 4并采用此补丁
ftp://ftpna.beasys.com/pub/releases/security/CR126896_700sp4.jar
当Service Pack 5可使用时,用户可以使用它代替Service Pack 4和这个补丁.
浏览次数:7130
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |