BEA Systems WebLogic Express竞争条件远程拒绝服务漏洞

漏洞信息详情

BEA Systems WebLogic Express竞争条件远程拒绝服务漏洞

• CNNVD编号：CNNVD-200210-148
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2002-1030
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-07-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  bea
• 漏洞来源：
  zillion※ zillion@s…

BEA Systems WebLogic Server是一款企业级别的WEB和无线应用服务程序，BEA WebLogic Express是为WEB和无线应用程序的动态数据进行服务的平台，可使用在多种Linux/Unix操作系统中，也可以使用在Windows操作系统下。
BEA WebLogic Express代码中存在竞争条件漏洞，远程攻击者可以利用这个漏洞进行拒绝服务攻击。
如果BEA WebLogic Express中的性能捆绑(performance pack)功能开启的情况下，攻击者可以提交大量的数据连接，可导致由于NTDLL.DLL产生错误而使服务崩溃，停止对正常通信的响应。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 使用如下方法关闭性能捆束(performance pack)功能：

1，启动Weblogic Server控制台。

2，在导行树中打开Servers文件夹。

3，在Servers文件夹中选择你的服务器。

4，选择Configuration标签。

5，选择Tuning标签。

6，如果”Native IO Enabled”被选中，请撤消选中。

7，点击Apply。

8，重启动你的服务器。
厂商补丁：
BEA Systems
———–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Bea Systems WebLogic Server for Win32 5.1 SP 9:

Bea Systems WebLogic Express for Win32 5.1 SP 9:

Bea Systems WebLogic Express for Win32 5.1 SP 8:

Bea Systems WebLogic Server for Win32 5.1 SP 8:

Bea Systems WebLogic Server for Win32 5.1 SP 7:

Bea Systems WebLogic Express for Win32 5.1 SP 7:

Bea Systems WebLogic Express for Win32 5.1 SP 6:

Bea Systems WebLogic Server for Win32 5.1 SP 6:

Bea Systems WebLogic Server for Win32 5.1 SP 5:

Bea Systems WebLogic Express for Win32 5.1 SP 5:

Bea Systems WebLogic Express for Win32 5.1 SP 4:

Bea Systems WebLogic Server for Win32 5.1 SP 4:

Bea Systems WebLogic Server for Win32 5.1 SP 3:

Bea Systems WebLogic Express for Win32 5.1 SP 3:

Bea Systems WebLogic Express for Win32 5.1 SP 2:

Bea Systems WebLogic Server for Win32 5.1 SP 2:

Bea Systems WebLogic Express for Win32 5.1 SP 12:

BEA Systems Patch CR080901_510sp12.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_510sp12.zip

Bea Systems WebLogic Server for Win32 5.1 SP 12:

BEA Systems Patch CR080901_510sp12.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_510sp12.zip

Bea Systems WebLogic Server for Win32 5.1 SP 11:

Bea Systems WebLogic Express for Win32 5.1 SP 11:

Bea Systems WebLogic Express for Win32 5.1 SP 10:

Bea Systems WebLogic Server for Win32 5.1 SP 10:

Bea Systems WebLogic Express for Win32 5.1 SP 1:

Bea Systems WebLogic Server for Win32 5.1 SP 1:

Bea Systems WebLogic Server for Win32 5.1:

Bea Systems WebLogic Express for Win32 5.1:

Bea Systems WebLogic Server for Win32 6.0 SP 2:

BEA Systems Patch CR080901_60sp2rp3.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_60sp2rp3.zip

Must have rolling patch 3 installed.

Bea Systems WebLogic Express for Win32 6.0 SP 2:

BEA Systems Patch CR080901_60sp2rp3.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_60sp2rp3.zip

Must have rolling patch 3 installed.

Bea Systems WebLogic Express for Win32 6.0 SP 1:

Bea Systems WebLogic Server for Win32 6.0 SP 1:

Bea Systems WebLogic Server for Win32 6.0:

Bea Systems WebLogic Express for Win32 6.0:

Bea Systems WebLogic Server for Win32 6.1 SP 3:

BEA Systems Patch CR080901_61sp3.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_61sp3.zip

Bea Systems WebLogic Express for Win32 6.1 SP 3:

BEA Systems Patch CR080901_61sp3.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_61sp3.zip

Bea Systems WebLogic Server for Win32 6.1 SP 2:

Bea Systems WebLogic Express for Win32 6.1 SP 2:

Bea Systems WebLogic Express for Win32 6.1 SP 1:

Bea Systems WebLogic Server for Win32 6.1 SP 1:

Bea Systems WebLogic Server for Win32 6.1:

Bea Systems WebLogic Express for Win32 6.1:

Bea Systems WebLogic Express for Win32 7.0:

BEA Systems Patch CR080901_70.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_70.zip

Bea Systems WebLogic Server for Win32 7.0:

BEA Systems Patch CR080901_70.zip

ftp://ftpna.bea.com/pub/releases/security/CR080901_70.zip

来源: BID
名称: 5159
链接:http://www.securityfocus.com/bid/5159

来源: XF
名称: weblogic-race-condition-dos(9486)
链接:http://www.iss.net/security_center/static/9486.php

来源: BUGTRAQ
名称: 20020708 KPMG-2002029: Bea Weblogic Performance Pack Denial of Service
链接:http://online.securityfocus.com/archive/1/281046

来源: dev2dev.bea.com
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2Fadvisory_BEA02-19.htm

来源: VULNWATCH
名称: 20020708 [VulnWatch] KPMG-2002029: Bea Weblogic Performance Pack Denial of Service
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q3/0008.html