漏洞信息详情
BEA WebLogic Operator/Admin密码泄露漏洞
- CNNVD编号:CNNVD-200412-1082
- 危害等级: 中危
- CVE编号: CVE-2004-1757
- 漏洞类型: 其他
- 发布时间: 2004-01-27
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: bea
- 漏洞来源: BEA SECURITY ADVIS...
漏洞简介
BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。 BEA Systems WebLogic存在操作员或管理员密码泄露问题,本地攻击者可以利用这个漏洞未授权访问系统。 当节点管理器尝试启动管理服务,并且在启动过程中管理服务器失败情况下,用于启动管理服务器的用户名和密码会以明文方式存放在文件系统中。攻击者可以使管理服务器启动过程中进行攻击,可获得启动用户名和密码。
漏洞公告
厂商补丁: BEA Systems ----------- For WebLogic Server and Express 8.1
升级到Service Pack 2并采用此补丁
ftp://ftpna.beasys.com/pub/releases/security/CR127930_81sp2.zip
当Service Pack 3可使用时,用户可以使用它代替Service Pack 2和这个补丁.
WebLogic Server and Express 7.0
升级到Service Pack 2并采用此补丁
ftp://ftpna.beasys.com/pub/releases/security/CR127930_70sp4.zip
当Service Pack 3可使用时,用户可以使用它代替Service Pack 2和这个补丁.
WebLogic Server and Express 6.1
升级到Service Pack 2并采用此补丁
ftp://ftpna.beasys.com/pub/releases/security/CR127930_61sp6.zip
当Service Pack 3可使用时,用户可以使用它代替Service Pack 2和这个补丁.
参考网址
来源:US-CERT Vulnerability Note: VU#350350 名称: VU#350350 链接:http://www.kb.cert.org/vuls/id/350350 来源: XF 名称: weblogic-boot-password-disclosure(14957) 链接:http://xforce.iss.net/xforce/xfdb/14957 来源: BID 名称: 9501 链接:http://www.securityfocus.com/bid/9501 来源: SECUNIA 名称: 10728 链接:http://secunia.com/advisories/10728 来源: dev2dev.bea.com 链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_50.00.jsp 来源:NSFOCUS 名称:5973 链接:http://www.nsfocus.net/vulndb/5973
受影响实体
- Bea Weblogic_server:6.1:Sp4:Win32
- Bea Weblogic_server:6.1:Sp3:Express
- Bea Weblogic_server:6.1:Sp3
- Bea Weblogic_server:6.1:Sp2:Win32
- Bea Weblogic_server:6.1:Sp2
补丁
暂无
评论