BEA Plumtree Foundation及AquaLogic Interaction信息泄露漏洞

漏洞信息详情

BEA Plumtree Foundation及AquaLogic Interaction信息泄露漏洞

• CNNVD编号：CNNVD-200712-006
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-6197
  
• 漏洞类型：
  
  
  信息泄露
  
• 发布时间：
  
  2007-11-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-12-03
  
• 厂        商：
  
  bea
• 漏洞来源：
  Adrian Pastor m123…

Plumtree Foundation是流行的企业门户网站解决方案，目前已被BEA收购并成为AquaLogic产品家族的一部分。

Plumtree Foundation的实现上存在多个信息泄露漏洞，远程攻击者可能利用此漏洞获取某些敏感信息有助于进一步攻击。

在每次请求的HTML页面的HTML标注底部都会显示承载BEA Plumtree服务器的内部主机名，如下所示：

＜!–Hostname： websvr01–＞;

此外在每次请求的HTML页面的HTML标注底部都会显示具体版本和build日期：

＜!–Portal Version： 6.0.1.218452, Changelist： 218452, Build Date： 04/07/2006 at 10：13 AM–＞

这些信息可能被恶意用户利用非法访问内部系统的资源，或根据版本号降低攻击尝试的次数。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://commerce.bea.com/showallversions.jsp?family=ALI

来源: SECUNIA

名称: 27840

链接:http://secunia.com/advisories/27840

来源: SECTRACK

名称: 1019005

链接:http://www.securitytracker.com/id?1019005

来源: VUPEN

名称: ADV-2007-4040

链接:http://www.frsirt.com/english/advisories/2007/4040

来源: MISC

链接:http://procheckup.com/Vulnerability_PR06-09.php

来源: MISC

链接:http://procheckup.com/Vulnerability_PR06-08.php

来源: BUGTRAQ

名称: 20071201 PR06-08: BEA Plumtree portal internal hostname disclosure vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/484467/100/0/threaded