安全研究

安全漏洞
BEA WebLogic Server和WebLogic Express配置工具日志文件明文密码漏洞

发布日期:2004-04-21
更新日期:2004-04-27

受影响系统:
BEA Systems WebLogic Express 8.1 SP2
BEA Systems WebLogic Express 8.1 SP1
BEA Systems WebLogic Express 8.1
BEA Systems Weblogic Server 8.1 SP2
BEA Systems Weblogic Server 8.1 SP1
BEA Systems Weblogic Server 8.1
BEA Systems WebLogic Express for Win32 8.1 SP2
BEA Systems WebLogic Express for Win32 8.1 SP1
BEA Systems WebLogic Express for Win32 8.1
BEA Systems WebLogic Server for Win32 8.1 SP2
BEA Systems WebLogic Server for Win32 8.1 SP1
BEA Systems WebLogic Server for Win32 8.1
描述:
BUGTRAQ  ID: 10188
CVE(CAN) ID: CVE-2004-0712

BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。

BEA WebLogic Server和WebLogic Express存在设计错误,可导致受影响的配置工具产生日志文件时记录明文密码。

当使用config.sh或者config.cmd配置工具时,产生的日志文件包含明文的管理员用户名和密码信息,本地攻击者可以获得这些信息对站点进行攻击。

<*来源:BEA System SECURITY ADVISORY
  
  链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_58.00.jsp
*>

建议:
厂商补丁:

BEA Systems
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

BEA Systems Patch CR135189_81sp2patch.jar
ftp://ftpna.beasys.com/pub/releases/security/CR135189_81sp2patch.jar

浏览次数:2744
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障