Se han publicado actualizaciones para cubrir dos problemas que afectan
a diferentes versiones de servidores BEA WebLogic.

Se ha descubierto la existencia de diversas contraseñas en texto claro
en BEA WebLogic Server y WebLogic Express. En concreto las contraseñas
que se encuentran sin cifrado de ningún tipo son las siguientes:
* La contraseña JDBCConnectionPoolRuntimeMBean se muestra en texto
claro a través de la administración weblogic.
* Las passwords en CredentialMapper se almacenan en texto claro en el
sistema.
* Algoritmos de cifrado y secretos internos de contraseñas en WebLogic
Server y WebLogic Express son accesibles a usuarios no privilegiados.
Un atacante que obtenga las passwords almacenadas en config.xml,
filerealm.properties y weblogic-rar.xml podrá llegar a descifrarlas.

Para evitar este problema se recomienda la actualización a Service Pack 2
y aplicar el siguiente parche:
ftp://ftpna.beasys.com/pub/releases/security/CR104520_700sp2.zip

El segundo de los problemas afecta a BEA WebLogic Server y Express,
Tuxedo, y WebLogic Enterprise. El problema reside en que los
certificados emitidos a usuarios individuales podrán ser tratados
como si hubieran sido emitidos a una entidad certificadora. Esta
vulnerabilidad puede ser empleada para asumir la personalidad de
cualquier usuario.

Para evitar este problema se recomienda la instalación de los siguientes
parches:
Para Tuxedo 8.0: Aplicar Rolling Patch 166 o posterior
Para Tuxedo 8.1: Aplicar Rolling Patch 12 o posterior
Para WebLogic Enterprise 5.0: Aplicar Rolling Patch 59 o posterior
Para WebLogic Enterprise 5.1: Aplicar Rolling Patch 145 o posterior
Estos parches están disponibles a través del soporte a usuarios de BEA

Para WebLogic Server y Express 5.1:
Actualizar a Service Pack 13 y aplicar:
ftp://ftpna.beasys.com/pub/releases/security/CR090101_src510p.zip
Para WebLogic Server y Express 6.1:
Actualizar a Service Pack 5.
Para WebLogic Server y Express 7.0 o 7.0.0.1:
Actualizar a Service Pack 2.

Antonio Ropero
antonior@hispasec.com

Más información:

Patches available to prevent invalid SSL certificate chain vulnerability
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-31.jsp

Patch available to prevent clear-text passwords
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-30.jsp

Compártelo: