BEA ha anunciado en:
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/advisory03_38
_00.jsp
la publicación de actualizaciones para BEA Tuxedo y WebLogic
Enterprise, debido a la existencia de diversas vulnerabilidades.
Los mencionados problemas de seguridad afectan a las versiones 8.1, 8.0,
7.1, 6.5, 6.4 y 6.3 de Tuxedo, y a las versiones 5.1, 5.0.1 y 4.2 de
WebLogic Enterprise. Las vulnerabilidades tienen su origen en que la consola
de administración de BEA Tuxedo no valida algunos argumentos de
inicialización de forma adecuada. En la práctica, esta situación posibilita
el descubrimiento de archivos remotos, la denegación de servicios y un
problema de cross-site scripting (que puede permitir a un atacante la
ejecución de comandos en el contexto de seguridad del usuario).
Se recomienda a los usuarios cuyos equipos puedan verse afectados que
filtren y restrinjan el acceso a las herramientas administrativas, y que
apliquen el “Rolling Patch 62″ para Tuxedo 8.1.