CVE-2006-0429
CVSS2.1
发布时间 :2006-01-25 18:07:00
修订时间 :2011-03-07 21:30:02
NMCO    

[原文]BEA WebLogic Server and WebLogic Express 9.0 causes new security providers to appear active even if they have not been activated by a server reboot, which could cause an administrator to perform inappropriate, security-relevant actions.


[CNNVD]BEA WebLogic多个远程或本地安全漏洞(CNNVD-200601-317)

        BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。
        
        WebLogic中存在多个漏洞,具体如下:
        
        1 任何域的系统管理员都可以访问WebLogic管理控制台所管理的多个域。
        2 远程Java客户端可以利用MBean漏洞访问受保护的MBean属性或对服务器发动拒绝服务攻击。
        
        3 WebLogic Portal RDBMS认证提供者的数据库口令以明文存储在服务器系统文件的config.xml文件中。如果攻击者能够访问这个文件的话,就可以获得数据库口令。
        
        4 远程认证用户可以查看服务器日志。此外,从WebLogic Server 6.x升级的域可能存在活动的guest帐号,允许认证的guest用户查看服务器日志。
        
        5 攻击者可以使用部署描述符信息对应用程序展开攻击。
        6 如果启用了配置审计的话,更改口令就会触发包含有新旧明文口令的配置审计事件。WebLogic审计提供者将配置审计事件以明文写入服务器系统的DefaultAuditRecorder.log文件中,其他审计提供者也可以将文件以明文写入到审计存储中。
        7 编码应用程序代码(如EJB或servlet)中的漏洞可能允许在服务器上解密加密的口令。
        
        8 某些特制的URL可能允许用户访问非预期的Web资源,即使这些资源位于防火墙后。
        9 配置完新的安全提供者后,在重启服务器前管理员可能认为供应者是活动的,因为没有迹象表明服务器仍在使用最后一次重启后的安全提供者。这可能导致管理员对新的提供者删除或添加用户、安全策略,而实际上在重启服务器前并没有生效。
        10 在某些配置和某些条件下,连接过滤可能导致服务器性能降低。
        
        11 没有正确地保护服务器的SSL身份。
        
        12 如果管理员使用控制台设置JNDI资源的安全策略的话,则所生成的策略不能正确的保护JNDI资源。

- CVSS (基础分值)

CVSS分值: 2.1 [轻微(LOW)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:bea:weblogic_server:9.0BEA Systems WebLogic Server 9.0
cpe:/a:bea:weblogic_server:9.0::express

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0429
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-0429
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200601-317
(官方数据源) CNNVD

- 其它链接及资源

http://securitytracker.com/id?1015528
(PATCH)  SECTRACK  1015528
http://secunia.com/advisories/18592
(VENDOR_ADVISORY)  SECUNIA  18592
http://dev2dev.bea.com/pub/advisory/173
(VENDOR_ADVISORY)  BEA  BEA06-116.00
http://xforce.iss.net/xforce/xfdb/24298
(UNKNOWN)  XF  weblogic-security-provider-weakness(24298)
http://www.vupen.com/english/advisories/2006/0313
(UNKNOWN)  VUPEN  ADV-2006-0313
http://www.securityfocus.com/bid/16358
(UNKNOWN)  BID  16358
http://www.osvdb.org/22773
(UNKNOWN)  OSVDB  22773

- 漏洞信息

BEA WebLogic多个远程或本地安全漏洞
低危 资料不足
2006-01-25 00:00:00 2006-01-26 00:00:00
远程※本地  
        BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。
        
        WebLogic中存在多个漏洞,具体如下:
        
        1 任何域的系统管理员都可以访问WebLogic管理控制台所管理的多个域。
        2 远程Java客户端可以利用MBean漏洞访问受保护的MBean属性或对服务器发动拒绝服务攻击。
        
        3 WebLogic Portal RDBMS认证提供者的数据库口令以明文存储在服务器系统文件的config.xml文件中。如果攻击者能够访问这个文件的话,就可以获得数据库口令。
        
        4 远程认证用户可以查看服务器日志。此外,从WebLogic Server 6.x升级的域可能存在活动的guest帐号,允许认证的guest用户查看服务器日志。
        
        5 攻击者可以使用部署描述符信息对应用程序展开攻击。
        6 如果启用了配置审计的话,更改口令就会触发包含有新旧明文口令的配置审计事件。WebLogic审计提供者将配置审计事件以明文写入服务器系统的DefaultAuditRecorder.log文件中,其他审计提供者也可以将文件以明文写入到审计存储中。
        7 编码应用程序代码(如EJB或servlet)中的漏洞可能允许在服务器上解密加密的口令。
        
        8 某些特制的URL可能允许用户访问非预期的Web资源,即使这些资源位于防火墙后。
        9 配置完新的安全提供者后,在重启服务器前管理员可能认为供应者是活动的,因为没有迹象表明服务器仍在使用最后一次重启后的安全提供者。这可能导致管理员对新的提供者删除或添加用户、安全策略,而实际上在重启服务器前并没有生效。
        10 在某些配置和某些条件下,连接过滤可能导致服务器性能降低。
        
        11 没有正确地保护服务器的SSL身份。
        
        12 如果管理员使用控制台设置JNDI资源的安全策略的话,则所生成的策略不能正确的保护JNDI资源。

- 公告与补丁

        目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
        WebLogic Server:
        http://commerce.bea.com/showallversions.jsp?family=WLS
        WebLogic Platform:
        http://commerce.bea.com/showallversions.jsp?family=WLP

- 漏洞信息

22773
BEA WebLogic Security Provider Activiation Weakness
Local Access Required Other
Impact Unknown
Exploit Unknown

- 漏洞描述

BEA WebLogic contains a flaw that may lead to an administrator believing that a new security provider has been activated even though it is not active yet. This is because WebLogic does not activate a security provider before the system is rebooted. This may lead to a loss of integrity.

- 时间线

2006-01-24 Unknow
Unknow Unknow

- 解决方案

Currently, there are no known workarounds or upgrades to correct this issue. However, the vendor has released a patch to address this vulnerability.

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站