Программа:
BEA WebLogic Express 6.x, 7.x, 8.x, 9.x
BEA WebLogic Server 6.x, 7.x, 8.x, 9.x

Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения
безопасности и получить доступ к важным данным на системе.

1. Уязвимость существует из-за того, что данные JTA транзакций могут
передаваться по небезопасным каналам. Удаленный пользователь может получить
доступ к важным данным.

2. Уязвимость существует в механизме QoS в client connection manager. Данные
транзакции могут быть посланы по незащищенному каналу.

3. Уязвимость существует в механизме сброса административного пароля. Пароль
администратора может быть сохранен в открытом виде в каталоге домена.

4. Уязвимость существует при обработке JavaServer Pages, содержащих ошибки при
компиляции. Удаленный пользователь может получить доступ к содержимому ".jsp"
файлов.

5. Уязвимость позволяет злоумышленнику получить данные о внутреннем IP адресе
сервера при подключении к серверу через административную консоль.

6. Доменное имя отображается некорректно при входе в систему из-под
административной консоли с использованием HTTP/HTTPS.

7. Уязвимость существует из-за того, что логин и пароль записываются в открытом
виде в лог файл в случае возникновения ошибки во время доступа к JWS (Java Web
Service) или Web приложениям, использующим HTTP обработчики WebLogic Server.

8. Административная консоль некорректно применяет JDBC политики. Злоумышленник
может получить доступ к важным данным.

9. Обнаружены некоторые ошибки, позволяющие раскрыть, в некоторых ситуация,
внутреннюю топологию сети.

10. Уязвимость существует из-за недостаточной защиты частных ключей.
Злонамеренное приложение, запущенное на сервере, может расшифровать частный
ключ.

11. Системный пароль отображается в консоли, когда администратор использует
скрипт "stopWebLogic.sh" для остановки сервера.
 



Оставить мнение