WebLogic ResourceAllocationException系统密码泄露漏洞

admin

0
文章

0
评论

2022-07-22 10:31:03 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

WebLogic ResourceAllocationException系统密码泄露漏洞

CNNVD编号：CNNVD-200312-276
危害等级：中危
CVE编号： CVE-2003-1093
漏洞类型：其他
发布时间： 2003-01-11
威胁类型：本地
更新时间： 2005-10-20
厂商： bea
漏洞来源： BEA System SECURIT...

漏洞简介

BEA Systems WebLogic Server是一款稳定、易于管理的电子商务系统的平台，提供对Enterprise Javabeans(EJB)和J2EE广泛支持，可使用在Windows和大多数Unix/Linux操作系统上。 BEA Systems在处理异常输出时存在问题，远程攻击者可以利用这个漏洞获得系统密码信息。当应用程序尝试把jsM消息路由通过网桥时，无论JMS目标域不存在或是配置问题不能获得JMS目标域的初始化上下文，WebLogic Server都会产生ResourceAllocationException异常，而这个异常包含了明文方式的系统密码信息。攻击者利用这个信息可以对系统进一步进行攻击。

漏洞公告

厂商补丁： BEA Systems ----------- BEA Systems已经为此发布了一个安全公告(BEA03-24.00)以及相应补丁:

BEA03-24.00：Patch available to protect password

链接： http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=c

WebLogic Revisions 6.1, 6.1 Service Pack 1, 6.1 Service Pack 2, 和6.1 Service Pack 3版本需要升级到6.1 Service Pack 4。

WebLogic Revisions 7.0 Service Pack 1,和7.0.0.1版本需要升级到7.0 Service Pack 1才能采用如下补丁：

BEA Systems Weblogic Server 6.1 SP 3:

BEA Systems Weblogic Server 6.1 SP 2:

BEA Systems Weblogic Server 6.1 SP 1:

BEA Systems Weblogic Server 6.1:

BEA Systems Weblogic Server 7.0 .0.1:

BEA Systems Patch CR093060_70sp1.jar

ftp://ftpna.beasys.com/pub/releases/security/CR093060_70sp1.jar

BEA Systems Weblogic Server 7.0 SP 1:

BEA Systems Patch CR093060_70sp1.jar

ftp://ftpna.beasys.com/pub/releases/security/CR093060_70sp1.jar

BEA Systems Weblogic Server 7.0:

BEA Systems Patch CR093060_70sp1.jar

ftp://ftpna.beasys.com/pub/releases/security/CR093060_70sp1.jar

参考网址

来源:US-CERT Vulnerability Note: VU#331937 名称: VU#331937 链接:http://www.kb.cert.org/vuls/id/331937 来源: XF 名称: weblogic-error-password-disclosure(11057) 链接:http://xforce.iss.net/xforce/xfdb/11057 来源: BID 名称: 6586 链接:http://www.securityfocus.com/bid/6586 来源: dev2dev.bea.com 链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-24.jsp 来源：NSFOCUS 名称：4220 链接：http://www.nsfocus.net/vulndb/4220