BEA WebLogic Server/Express EJB对象删除远程拒绝服务漏洞-一一网

BEA WebLogic Server/Express EJB对象删除远程拒绝服务漏洞

4年前更新

1400

漏洞信息详情

BEA WebLogic Server/Express EJB对象删除远程拒绝服务漏洞

CNNVD编号：CNNVD-200407-094

危害等级：中危
CVE编号：
CVE-2004-0713
漏洞类型：

访问验证错误
发布时间：

2004-04-20
威胁类型：

远程
更新时间：

2005-10-20
厂商：

bea
漏洞来源：
BEA System SECURIT…

漏洞简介

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。
WebLogic Server和WebLogic应用程序从一个EJB中调用remove()方法时存在问题，远程攻击者利用这个漏洞可以对依靠EJB的服务进行拒绝服务攻击。
漏洞发生在当应用程序调用EJB对象的remove()方法时，对此操作的调用者权限没有充分检查查，用户在没有恰当权限时也可以删除EJB，因此利用这个问题，可导致攻击者对那些调用EJB对象的应用服务进行拒绝服务攻击。

漏洞公告

厂商补丁：
BEA Systems
———–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

BEA Systems WebLogic 6.1 SP6:

BEA Systems Patch CR128888_61sp6.jar

ftp://ftpna.beasys.com/pub/releases/security/CR128888_61sp6.jar

BEA Systems Weblogic 8.1 SP 2:

BEA Systems Patch CR128888_81sp2.jar

ftp://ftpna.beasys.com/pub/releases/security/CR128888_81sp2.jar

参考网址

来源:US-CERT Vulnerability Note: VU#658878
名称: VU#658878
链接:http://www.kb.cert.org/vuls/id/658878

来源: BID
名称: 10185
链接:http://www.securityfocus.com/bid/10185

来源: XF
名称: weblogic-ejb-object-deletion(15928)
链接:http://xforce.iss.net/xforce/xfdb/15928

来源: dev2dev.bea.com
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_57.00.jsp

受影响实体

Bea Weblogic_server:6.1:Sp2:Win32
Bea Weblogic_server:6.1:Sp3
Bea Weblogic_server:8.1:Sp2:Win32
Bea Weblogic_server:8.1:Sp2:Express
Bea Weblogic_server:8.1:Sp2

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐