微点交流论坛

标题: BEA WebLogic多个漏洞以及安全问题 [打印本页]

作者: pioneer 时间: 2007-8-31 13:57 标题: BEA WebLogic多个漏洞以及安全问题

来源

secunia.com

软件名

BEA WebLogic Server 7.x
BEA WebLogic Server 8.x
BEA WebLogic Server 9.x
BEA WebLogic Server 6.x
BEA WebLogic Express 6.x
BEA WebLogic Express 7.x
BEA WebLogic Express 8.x
BEA WebLogic Express 9.x

描述

这可被恶意导致访问敏感信息或拒绝服务
1)客户端或服务器缺乏任何提供SSL密码的支持，可导致在"clear text"的SSL会话中使用空密码组件传送敏感信息时中断在以下版本中报告过这个问题。

* WebLogic Server 10.0所有平台
* WebLogic Server 9.2 released through Maintenance Pack 2所有平台
* WebLogic Server 9.1所有平台
* WebLogic Server 9.0所有平台
* WebLogic Server 8.1 released through Service Pack 6所有平台
* WebLogic Server 7.0 released through Service Pack 7所有平台

2)处理变形的头文件时的错误可通过发送一个特定的头文件到受影响的服务器来导致拒绝服务，以下产品中受到影响

* WebLogic Server 7.0 released through Service Pack 7所有平台
* WebLogic Server 6.1 released through Service Pack 7所有平台

3)处理客户端请求时的不确定错误可通过进行不特定的恶意操作来挂起服务器线程

* WebLogic Server 8.1 released through Service Pack 4所有平台
* WebLogic Server 7.0 released through Service Pack 7所有平台
* WebLogic Server 6.1 released through Service Pack 7所有平台

解决方案

应用补丁（参照厂商建议）

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn