Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / General / Diversos problemas en BEA WebLogic

Diversos problemas en BEA WebLogic

Por Deja un comentario

Se ha anunciado la existencia de diversos problemas de seguridad en el
servidor de aplicaciones BEA WebLogic.

Los problemas encontrados afectan a las versiones 5.x, 6.x y 7.x, el
primero de ellos consiste en que WebLogic en algunos casos da a dos
usuarios la misma sesión. El problema puede provocar una replicación de
otra sesión.

Los parches que corrigen este problema se encuentran en las siguientes
direcciones:

WebLogic Server y Express 5.1
ftp://ftpna.beasys.com/pub/releases/security/CR094773_510sp13.jar

WebLogic Server y Express 6.0
ftp://ftpna.beasys.com/pub/releases/security/CR094773_60sp2rp3.jar

WebLogic Server y Express 6.1
ftp://ftpna.beasys.com/pub/releases/security/CR094773_61sp4.jar

WebLogic Server y Express 7.0 y 7.0.0.1
ftp://ftpna.beasys.com/pub/releases/security/CR094773_70sp1.jar

El segundo de los problemas consistente en una denegación de servicio
cuando el servidor recibe determinadas peticiones HTTP.

Los parches que corrigen este problema se encuentran en las siguientes
direcciones:

WebLogic Server y Express 5.1 en Microsoft NT o Windows 2000
Actualizar a Service Pack 13

WebLogic Server y Express 6.0 en Microsoft NT o Windows 2000
ftp://ftpna.bea.com/pub/releases/security/CR089803_600sp2rp3.jar

WebLogic Server y Express 6.1 en Microsoft NT o Windows 2000
Actualizar a Service Pack 4

WebLogic Server y Express version 7.0 o Microsoft NT o Windows 2000
ftp://ftpna.bea.com/pub/releases/security/CR089803_70sp1.jar

El último de los problemas reside en un almacenamiento inseguro de la
contraseña, ya que cuando esta se almacena en texto claro en el
servidor. Este problema sólo afecta a WebLogic 7.0 y se soluciona con la
aplicación del siguiente parche:
ftp://ftpna.beasys.com/pub/releases/security/CR091911_70sp1.jar

Antonio Ropero
antonior@hispasec.com

Más información:

Patch available to prevent session sharing
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FBEA03-26.htm

Patch available for DOS attack
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FBEA03-14.htm

Patch available to protect password
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FBEA03-25.htm

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.