发布日期：2000-08-16
更新日期：2000-08-16

受影响系统：

BEA Systems Weblogic Server 5.1x
BEA Systems Weblogic Server 4.5x
BEA Systems Weblogic Server 4.0x
BEA Systems Weblogic Server 3.1.8
   - Sun Solaris
   - RedHat Linux
   - Microsoft Windows 98
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 2000
   - IBM AIX 4.3
   - IBM AIX 4.2
   - HP HP-UX 11.0
   - HP HP-UX 10.20

描述：

---

BEA System公司的Weblogic服务器提供了一些工具，可以很方便地将其集成到第三方的web服务器中
去。这是通过插件来完成的，它允许第三方的web服务器以代理的形式将请求转发给Weblogic服务
器。据BEA的文档描述，插件以可动态加载的库的形式支持Netscape Enterprise Server，IIS和
Apache。

这些web服务器可以进行配置，把对servlets和JSP文件的请求重定向到运行在同一台主机或者另外
一台主机上的Weblogic服务器。BEA Weblogic服务器提供的这些插件中存在几个缓冲溢出漏洞，使
得远程攻击者可以在运行其web代理服务器的系统上执行任意代码。其直接后果是以运行代理服务器
的用户的身份远程执行任意代码（通常是UNIX系统上的root用户，MS NT上的系统管理员）。

<* 来源：Gerardo Richarte ,Hernan Ochoa *>








建议：

---

BEA建议采用如下解决办法：

版本：
所有操作系统平台上的BEA WebLogic Server and Express 5.1.x, 4.5.x standalone version
或者作为BEA WebLogic Enterprise 5.1的一部分的版本

办法：升级用于第三方web服务器集成的代理插件。

下载地址：
BEA Systems service pack Service Pack 5
http://commerce.beasys.com/downloads/weblogic_server.jsp#wls



浏览次数：10611
严重程度：0（网友投票）