BEA WebLogic Operator/Admin密码泄露漏洞

漏洞信息详情

BEA WebLogic Operator/Admin密码泄露漏洞

• CNNVD编号：CNNVD-200412-1082
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1757
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2004-01-27
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  bea
• 漏洞来源：
  BEA SECURITY ADVIS…

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。
BEA Systems WebLogic存在操作员或管理员密码泄露问题，本地攻击者可以利用这个漏洞未授权访问系统。
当节点管理器尝试启动管理服务，并且在启动过程中管理服务器失败情况下，用于启动管理服务器的用户名和密码会以明文方式存放在文件系统中。攻击者可以使管理服务器启动过程中进行攻击，可获得启动用户名和密码。

厂商补丁：
BEA Systems
———–
For WebLogic Server and Express 8.1

升级到Service Pack 2并采用此补丁

ftp://ftpna.beasys.com/pub/releases/security/CR127930_81sp2.zip

当Service Pack 3可使用时，用户可以使用它代替Service Pack 2和这个补丁.

WebLogic Server and Express 7.0

升级到Service Pack 2并采用此补丁

ftp://ftpna.beasys.com/pub/releases/security/CR127930_70sp4.zip

当Service Pack 3可使用时，用户可以使用它代替Service Pack 2和这个补丁.

WebLogic Server and Express 6.1

升级到Service Pack 2并采用此补丁

ftp://ftpna.beasys.com/pub/releases/security/CR127930_61sp6.zip

当Service Pack 3可使用时，用户可以使用它代替Service Pack 2和这个补丁.

来源:US-CERT Vulnerability Note: VU#350350
名称: VU#350350
链接:http://www.kb.cert.org/vuls/id/350350

来源: XF
名称: weblogic-boot-password-disclosure(14957)
链接:http://xforce.iss.net/xforce/xfdb/14957

来源: BID
名称: 9501
链接:http://www.securityfocus.com/bid/9501

来源: SECUNIA
名称: 10728
链接:http://secunia.com/advisories/10728

来源: dev2dev.bea.com
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_50.00.jsp

来源：NSFOCUS
名称：5973
链接：http://www.nsfocus.net/vulndb/5973