Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Desbordamiento de búfer en BEA WebLogic Server

Desbordamiento de búfer en BEA WebLogic Server

Por Leave a Comment

Una URL especialmente mal formada provoca un desbordamiento de búfer
en BEA WebLogic Server 4.0x, 4.5x y 5.1x, en sus versiones para
Windows y Unix. La vulnerabilidad puede ser explotada para realizar
ataques DoS o ejecutar código arbitrario.
WebLogic es un servidor de aplicaciones especialmente diseñado para
el comercio electrónico. La metodología del ataque es bastante
simple, únicamente es necesario realizar una petición URL que
comienza con dos puntos (..) seguidos de una larga cadena de
caracteres. Dependiendo de los caracteres introducidos, se provocará
una denegación de servicio o la ejecución de código arbitrario en
el contexto «LocalSystem». En el caso de un ataque DoS debe
reiniciarse la aplicación para reanudar el servicio.

El problema es corregido en la versión 5.1 con el Service Pack 7,
los usuarios afectados podrán actualizarse desde la dirección:
http://commerce.beasys.com/downloads/weblogic_server.jsp

Antonio Román
antonio_roman@hispasec.com

Más información:

BEA WebLogic Server Double Dot Buffer Overflow Vulnerability
http://www.securityfocus.com/archive/1/152151

BEA Systems, Inc
http://www.bea.com

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.