Rynho Zeros Web

Publicidad

Se ha detectado una vulnerabilidad en WebLogic que posibilita a un
atacante la construcción de ataques de Cross Site Scripting.

WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico. Lo que añade a esta vulnerabilidad un peligro adicional.

El problema reside en que determinados parámetros no se verifican
adecuadamente antes de ser devueltos al usuario. Esto puede ser
explotado para realizar los ataques de Cross Site Scripting.

Múltiples scripts de ejemplos se ven afectados por este
problema, las aplicaciones a medida también pueden estar afectadas.

Las versiones afectadas por este problema son:

BEA Systems Liquid Data 1.1
BEA Systems WebLogic Express 5.1
BEA Systems WebLogic Express 6.1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Integration 7.0
BEA Systems WebLogic Server 5.1
BEA Systems WebLogic Server 6.1
BEA Systems WebLogic Server 7.0

Los parches para evitar este problema se encuentran disponible en
la dirección.

WebLogic Server 7.0 SP2
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Integration 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip

WebLogic Server 6.1 SP3:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

WebLogic Server 6.1 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

Parche para WebLogic Server 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Server 7.0
actualizar Service Pack 3 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar

WebLogic Server 6.1
Actualizar a Service Pack 5 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.jar

WebLogic Server 5.1
Actualizar a Service Pack 13 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/1748/comentar

Más Información:

SECURITY ADVISORY (BEA03-36.00)

http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/SA_BEA03_36.00.jsp

BEA Systems, Inc:

http://www.bea.com

Antonio Román
roman@hispasec.com

Publicidad

Otros articulos que te pueden interesar

• Problemas de seguridad en BEA WebLogic Server y Express 7.0 y 8.1
• Actualización para BEA WebLogic Server y Express en sus versiones 7.0
• Actualizaciones para servidores BEA WebLogic
• Múltiples vulnerabilidades en productos BEA WebLogic
• Publicadas actualizaciones para BEA WebLogic