BEA WebLogic Server/Express EJB非法URL模式绕过漏洞

漏洞信息详情

BEA WebLogic Server/Express EJB非法URL模式绕过漏洞

• CNNVD编号：CNNVD-200407-056
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0711
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2004-04-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  bea
• 漏洞来源：
  BEA System SECURIT…

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。
WebLogic Server和WebLogic Express在处理非法URI匹配时存在问题，远程攻击者利用这个漏洞在某些情况下访问敏感资源。
在WebLogic Server 6.x版本中，对于\’\’/mydir*\’\’的不合法URL模式一般处理为合法的/mydir/*模式，如果WebLogic Server 6.x版本Web应用程序使用的非法语法移植到WebLogic Server 7.x版本或之后版本，对非法语法的保护将失效，导致部分保护资源可被访问。

厂商补丁：
BEA Systems
———–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

BEA Systems WebLogic 6.1 SP6:

BEA Systems Patch CR128888_61sp6.jar

ftp://ftpna.beasys.com/pub/releases/security/CR128888_61sp6.jar

BEA Systems Weblogic 8.1 SP 2:

BEA Systems Patch CR128888_81sp2.jar

ftp://ftpna.beasys.com/pub/releases/security/CR128888_81sp2.jar

来源:US-CERT Vulnerability Note: VU#184558
名称: VU#184558
链接:http://www.kb.cert.org/vuls/id/184558

来源: BID
名称: 10184
链接:http://www.securityfocus.com/bid/10184

来源: XF
名称: weblogic-urlpattern-obtain-information(15927)
链接:http://xforce.iss.net/xforce/xfdb/15927

来源: dev2dev.bea.com
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_56.00.jsp