Программа:
BEA WebLogic Express 6.x, 7.x, 8.x, 9.x
BEA WebLogic Server 6.x, 7.x, 8.x, 9.x
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения
безопасности и получить доступ к важным данным на системе.
1. Уязвимость существует из-за того, что данные JTA транзакций могут
передаваться по небезопасным каналам. Удаленный пользователь может получить
доступ к важным данным.
2. Уязвимость существует в механизме QoS в client connection manager. Данные
транзакции могут быть посланы по незащищенному каналу.
3. Уязвимость существует в механизме сброса административного пароля. Пароль
администратора может быть сохранен в открытом виде в каталоге домена.
4. Уязвимость существует при обработке JavaServer Pages, содержащих ошибки при
компиляции. Удаленный пользователь может получить доступ к содержимому ".jsp"
файлов.
5. Уязвимость позволяет злоумышленнику получить данные о внутреннем IP адресе
сервера при подключении к серверу через административную консоль.
6. Доменное имя отображается некорректно при входе в систему из-под
административной консоли с использованием HTTP/HTTPS.
7. Уязвимость существует из-за того, что логин и пароль записываются в открытом
виде в лог файл в случае возникновения ошибки во время доступа к JWS (Java Web
Service) или Web приложениям, использующим HTTP обработчики WebLogic Server.
8. Административная консоль некорректно применяет JDBC политики. Злоумышленник
может получить доступ к важным данным.
9. Обнаружены некоторые ошибки, позволяющие раскрыть, в некоторых ситуация,
внутреннюю топологию сети.
10. Уязвимость существует из-за недостаточной защиты частных ключей.
Злонамеренное приложение, запущенное на сервере, может расшифровать частный
ключ.
11. Системный пароль отображается в консоли, когда администратор использует
скрипт "stopWebLogic.sh" для остановки сервера.
