BEA WebLogic Server和Express HTTP应答远程信息泄露漏洞

漏洞信息详情

BEA WebLogic Server和Express HTTP应答远程信息泄露漏洞

• CNNVD编号：CNNVD-200212-209
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2002-2177
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-09-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-03-01
  
• 厂        商：
  
  bea
• 漏洞来源：
  BEA Systems securi…

BEA Systems WebLogic Server是一款企业级别的WEB和无线应用服务程序，BEA WebLogic Express是为WEB和无线应用程序的动态数据进行服务的平台，可使用在多种Linux/Unix操作系统中，也可以使用在Windows操作系统下。
BEA Systems WebLogic Server和Express在回复用户应答时存在安全问题，远程攻击者可以利用这个漏洞获得系统敏感信息。
BEA Systems WebLogic Server和Express对应答数据进行缓冲，可以增加服务程序性能。不过存在一个设计问题，允许缓冲数据共享给两个HTTP应答，也就是说单个用户请求可能导致两个用户获得应答信息，可导致泄露敏感信息。
不过这个条件发生随机性很强，一般来说不可能被利用。

厂商补丁：
BEA Systems
———–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

1，升级到相应的Service Pack:

BEA WebLogic Server和Express 7.0, released或者7.0.0.1：

升级到Service Pack 1。

2，BEA WebLogic Server和Express 6.1 standalone和作为BEA WebLogic Enterprise 6.1一部分, released或者Service Pack 1版本：

升级到Service Pack 3。

Service packs和信息可以从下面的地址获得：

http://commerce.beasys.com/downloads/weblogic_server.jsp#wls” target=”_blank”>
http://commerce.beasys.com/downloads/weblogic_server.jsp#wls

来源: BID
名称: 5819
链接:http://www.securityfocus.com/bid/5819

来源: XF
名称: weblogic-http-response-information(10221)
链接:http://www.iss.net/security_center/static/10221.php

来源: BEA
名称: BEA02-20.00
链接:http://dev2dev.bea.com/pub/advisory/38

来源：NSFOCUS
名称：3608
链接：http://www.nsfocus.net/vulndb/3608