BEA WebLogic Server和Express密码泄露漏洞

漏洞信息详情

BEA WebLogic Server和Express密码泄露漏洞

• CNNVD编号：CNNVD-200404-023
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1758
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-04-13
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-28
  
• 厂        商：
  
  bea
• 漏洞来源：
  BEA System SECURIT…

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。
BEA WebLogic Server和Express在部分配置环境下密码存储存在问题，本地攻击者可以利用这个漏洞获得敏感密码信息。
当服务器配置为采用非目标JDBC连接池并配置了数据库用户名和密码，WebLogic Server/Express就会把数据库密码信息以明文方式写入到配置文件中。攻击者获得这些密码后可以访问数据库。

厂商补丁：
BEA Systems
———–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

BEA Systems WebLogic 6.1 SP6:

BEA Systems Patch CR128888_61sp6.jar

ftp://ftpna.beasys.com/pub/releases/security/CR128888_61sp6.jar

BEA Systems Weblogic 8.1 SP 2:

BEA Systems Patch CR128888_81sp2.jar

ftp://ftpna.beasys.com/pub/releases/security/CR128888_81sp2.jar

来源:US-CERT Vulnerability Note: VU#920238
名称: VU#920238
链接:http://www.kb.cert.org/vuls/id/920238

来源: XF
名称: bea-configxml-plaintext-password(15860)
链接:http://xforce.iss.net/xforce/xfdb/15860

来源: BID
名称: 10131
链接:http://www.securityfocus.com/bid/10131

来源: dev2dev.bea.com
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_53.00.jsp

来源: OSVDB
名称: 5297
链接:http://www.osvdb.org/5297

来源: SECTRACK
名称: 1009764
链接:http://securitytracker.com/id?1009764

来源: SECUNIA
名称: 11357
链接:http://secunia.com/advisories/11357