Se ha publicado una actualización para BEA WebLogic Server y Express
7.0 para evitar un problema de seguridad que permite la reutilización
de certificados SSL.
WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico.
Debido a un error en el código del cliente de Web Services, un cliente
pesado (Fat Client) que se conecte repetidas veces al mismo servidor
WebLogic con SSL de doble sentido pero con diferentes certificados de
cliente, podría tener una identidad de usuario incorrecta a partir de
la segunda conexión.
El problema afecta a WebLogic Server y Express 7.0, hasta la versión
parcheada con Service Pack 4, que corran sobre cualquier plataforma.
La compañía recomienda actualizar a la mayor brevedad posible, con
la instalación previa del Service Pack 4 (en caso de que aún no se
haya realizado) y luego el parche disponible en la dirección:
ftp://ftpna.beasys.com/pub/releases/security/CR126896_700sp4.jar
roman@hispasec.com
Más información:
Patch and upgrade available to prevent SSL Certificate re-use
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_47.00.jsp
Deja un comentario