Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/Vulnerabilidades/Múltiples vulnerabilidades en productos BEA WebLogic

Múltiples vulnerabilidades en productos BEA WebLogic

Por Deja un comentario

Se han anunciado hasta un total de trece vulnerabilidades en productos de la familia BEA WebLogic que pueden permitir a los atacantes evitar comprobaciones de seguridad, descubrir información sensible o provocar denegaciones de servicio.

Entre otros, los problemas se deben a varios errores de validación de entradas, errores en el puerto SSL del servidor WebLogic, un uso incorrecto del nombre de usuario y contraseña definidos en la configuración Bridge-destination o diversos errores en la consola de administración.

Otras vulnerabilidades residen en el comando “configToScript”, en el módulo LDAP, en JMS o en “HttpClusterServlet” y “HttpProxyServlet”.

Se ven afectados los BEA WebLogic Server versiones 9, 8, 7 y 6; BEA WebLogic Portal 9, BEA WebLogic Integration 9 y BEA WebLogic Workshop/Integration 8.

Se recomienda consultar los avisos de seguridad publicados por BEA para obtener más información sobre cada uno de los problemas, así como aplicar las actualizaciones publicadas por BEA y disponibles en
BEA WebLogic Server patches :
http://commerce.bea.com/showallversions.jsp?family=WLS
BEA WebLogic Platform patches :
http://commerce.bea.com/showallversions.jsp?family=WLP

Antonio Ropero
antonior@hispasec.com

Más información:

Security Advisory BEA07-170.00
Exposure of filenames in development mode
http://dev2dev.bea.com/pub/advisory/239

Security Advisory BEA07-169.00
WebLogic SSL may verify RSA Signatures incorrectly if the RSA key exponent is 3
http://dev2dev.bea.com/pub/advisory/238

Security Advisory BEA07-168.00
An SSL port may be susceptible to a Denial of Service attack
http://dev2dev.bea.com/pub/advisory/237

Security Advisory BEA07-167.00
Inadvertent corruption of entitlements could result in unauthorized access to protected resources
http://dev2dev.bea.com/pub/advisory/236

Security Advisory BEA07-166.00
Cross-site scripting attacks in the WebLogic Portal Groupspace application
http://dev2dev.bea.com/pub/advisory/235

Security Advisory BEA07-165.00
WebLogic JMS Message Bridge not enforcing proper credentials to access a protected queue
http://dev2dev.bea.com/pub/advisory/234

Security Advisory BEA07-163.00
The WLST script generated by configToScript may not encrypt sensitive attributes when creating a new domain.
http://dev2dev.bea.com/pub/advisory/233

Security Advisory BEA07-164.00
Security policy may not be applied to WebLogic administration deployers when uploading archives
http://dev2dev.bea.com/pub/advisory/231

Security Advisory BEA07-80.03
Patches available to prevent multiple cross-site scripting (XSS) vulnerabilities.
http://dev2dev.bea.com/pub/advisory/232

Security Advisory BEA07-162.00
The WebLogic console may display certain Web Service sensitive attributes in clear text
http://dev2dev.bea.com/pub/advisory/230

Security Advisory BEA07-161.00
WebLogic Server Embedded LDAP may be susceptible to a brute force attack
http://dev2dev.bea.com/pub/advisory/229

Security Advisory BEA07-160.00
Security policies may not be enforced on WebLogic JMS servers
http://dev2dev.bea.com/pub/advisory/228

Security Advisory BEA07-159.00
Requests served through WebLogic proxy servlets may acquire elevated privileges
http://dev2dev.bea.com/pub/advisory/227

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.