BEA ha proporcionado un conjunto de
actualizaciones para BEA WebLogic Server y Express, que corrigen cinco
vulnerabilidades diferentes que pueden emplearse para provocar una
denegación de servicio u obtener información confidencial.
El primero de los problemas mencionados reside en que al tratar algunas URL
maliciosamente creadas el plugin proxy falla, lo que permite provocar su
caída y que los sitios web queden inaccesibles. El segundo problema ocurre
cuando WebLogic accede al servidor con SSL sobre T3, pero especificando un
puerto no seguro en la URL, lo que conllevará la exposición de datos que
deberían estar protegidos.
Otro error consiste en que las contraseñas para proveedores JMS se muestran
en texto claro en la consola, y se almacenan de igual forma en el archivo
“config.xml”. Este problema expone las passwords a usuarios no fiables. Por
su parte, la cuarta vulnerabilidad se encuentra en que Node Manager falla al
manejar datos no válidos -como los generados por herramientas de escaneado
de puertos-, lo que producirá la caída o bloqueo de Node Manager.
Por último, la quinta vulnerabilidad está relacionada con la configuración
por defecto de los sitios expone MBeanHome a usuarios anónimos desde JNDI
con acceso RMI. En la práctica, posibilita a personas no autorizadas acceder
a diversas configuraciones de Mbeans.
Se recomienda consultar -en las direcciones que aparecen a continuación- los
avisos publicados por BEA para ampliar la información sobre los referidos
problemas, las versiones afectadas y sus actualizaciones.
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_39.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_40.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_41.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_42.00.jsp
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03_43.00.jsp
Publicidad