Se ha anunciado la existencia de diversos problemas de seguridad en el
servidor de aplicaciones BEA WebLogic.
Los problemas encontrados afectan a las versiones 5.x, 6.x y 7.x, el
primero de ellos consiste en que WebLogic en algunos casos da a dos
usuarios la misma sesión. El problema puede provocar una replicación de
otra sesión.
Los parches que corrigen este problema se encuentran en las siguientes
direcciones:
WebLogic Server y Express 5.1
ftp://ftpna.beasys.com/pub/releases/security/CR094773_510sp13.jar
WebLogic Server y Express 6.0
ftp://ftpna.beasys.com/pub/releases/security/CR094773_60sp2rp3.jar
WebLogic Server y Express 6.1
ftp://ftpna.beasys.com/pub/releases/security/CR094773_61sp4.jar
WebLogic Server y Express 7.0 y 7.0.0.1
ftp://ftpna.beasys.com/pub/releases/security/CR094773_70sp1.jar
El segundo de los problemas consistente en una denegación de servicio
cuando el servidor recibe determinadas peticiones HTTP.
Los parches que corrigen este problema se encuentran en las siguientes
direcciones:
WebLogic Server y Express 5.1 en Microsoft NT o Windows 2000
Actualizar a Service Pack 13
WebLogic Server y Express 6.0 en Microsoft NT o Windows 2000
ftp://ftpna.bea.com/pub/releases/security/CR089803_600sp2rp3.jar
WebLogic Server y Express 6.1 en Microsoft NT o Windows 2000
Actualizar a Service Pack 4
WebLogic Server y Express version 7.0 o Microsoft NT o Windows 2000
ftp://ftpna.bea.com/pub/releases/security/CR089803_70sp1.jar
El último de los problemas reside en un almacenamiento inseguro de la
contraseña, ya que cuando esta se almacena en texto claro en el
servidor. Este problema sólo afecta a WebLogic 7.0 y se soluciona con la
aplicación del siguiente parche:
ftp://ftpna.beasys.com/pub/releases/security/CR091911_70sp1.jar
antonior@hispasec.com
Más información:
Patch available to prevent session sharing
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FBEA03-26.htm
Patch available for DOS attack
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FBEA03-14.htm
Patch available to protect password
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FBEA03-25.htm
Deja una respuesta