微点交流论坛

标题: BEA 产品泄漏信息 [打印本页]

作者: pioneer 时间: 2008-2-25 09:46 标题: BEA 产品泄漏信息

来源

secunia.com

软件名

BEA AquaLogic Interaction Collaboration 4.x
Plumtree Collaboration Server

描述

这可恶意泄漏敏感信息
传递到download servlet中的不特定参数在用于下载文件前没有被准确过滤，这可导致从受影响的系统中下载系统文件

该漏洞在所有平台的以下版本中已经报告
* BEA Plumtree Collaboration 4.1 through Service Pack 2
* BEA AquaLogic Interaction 4.2 through Maintenance Pack 1

解决方案

应用补丁

BEA AquaLogic Collaboration 4.2:
更新到BEA AquaLogic Collaboration 4.2 MP1.
[url]ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/Collab_4.2.1.317490.zip[/url]

BEA Plumtree Collaboration 4.1:
更新到 BEA Plumtree Foundation 4.1 SP2.
[url]ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/Collab_4.1.2.317491.zip[/url]

[ Last edited by pioneer on 2008-2-25 at 09:51 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn