CVE-2006-0432
CVSS2.1
发布时间 :2006-01-25 18:07:00
修订时间 :2011-03-07 21:30:02
NMCO    

[原文]Unspecified vulnerability in BEA WebLogic Server and WebLogic Express 9.0, when an Administrator uses the WebLogic Administration Console to add custom security policies, causes incorrect policies to be created, which prevents the server from properly protecting JNDI resources.


[CNNVD]BEA WebLogic多个远程或本地安全漏洞(CNNVD-200601-338)

        BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。
        
        WebLogic中存在多个漏洞,具体如下:
        
        1 任何域的系统管理员都可以访问WebLogic管理控制台所管理的多个域。
        2 远程Java客户端可以利用MBean漏洞访问受保护的MBean属性或对服务器发动拒绝服务攻击。
        
        3 WebLogic Portal RDBMS认证提供者的数据库口令以明文存储在服务器系统文件的config.xml文件中。如果攻击者能够访问这个文件的话,就可以获得数据库口令。
        
        4 远程认证用户可以查看服务器日志。此外,从WebLogic Server 6.x升级的域可能存在活动的guest帐号,允许认证的guest用户查看服务器日志。
        5 攻击者可以使用部署描述符信息对应用程序展开攻击。
        
        6 如果启用了配置审计的话,更改口令就会触发包含有新旧明文口令的配置审计事件。WebLogic审计提供者将配置审计事件以明文写入服务器系统的DefaultAuditRecorder.log文件中,其他审计提供者也可以将文件以明文写入到审计存储中。
        
        7 编码应用程序代码(如EJB或servlet)中的漏洞可能允许在服务器上解密加密的口令。
        
        8 某些特制的URL可能允许用户访问非预期的Web资源,即使这些资源位于防火墙后。
        
        9 配置完新的安全提供者后,在重启服务器前管理员可能认为供应者是活动的,因为没有迹象表明服务器仍在使用最后一次重启后的安全提供者。这可能导致管理员对新的提供者删除或添加用户、安全策略,而实际上在重启服务器前并没有生效。
        10 在某些配置和某些条件下,连接过滤可能导致服务器性能降低。
        
        11 没有正确地保护服务器的SSL身份。
        12 如果管理员使用控制台设置JNDI资源的安全策略的话,则所生成的策略不能正确的保护JNDI资源。

- CVSS (基础分值)

CVSS分值: 2.1 [轻微(LOW)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:bea:weblogic_server:9.0BEA Systems WebLogic Server 9.0
cpe:/a:bea:weblogic_server:9.0::express

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0432
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-0432
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200601-338
(官方数据源) CNNVD

- 其它链接及资源

http://securitytracker.com/id?1015528
(PATCH)  SECTRACK  1015528
http://secunia.com/advisories/18592
(VENDOR_ADVISORY)  SECUNIA  18592
http://dev2dev.bea.com/pub/advisory/176
(VENDOR_ADVISORY)  BEA  BEA06-119.00
http://xforce.iss.net/xforce/xfdb/24299
(UNKNOWN)  XF  weblogic-jdni-security-weakness(24299)
http://www.vupen.com/english/advisories/2006/0313
(UNKNOWN)  VUPEN  ADV-2006-0313
http://www.securityfocus.com/bid/16358
(UNKNOWN)  BID  16358

- 漏洞信息

BEA WebLogic多个远程或本地安全漏洞
低危 资料不足
2006-01-25 00:00:00 2006-01-26 00:00:00
远程※本地  
        BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。
        
        WebLogic中存在多个漏洞,具体如下:
        
        1 任何域的系统管理员都可以访问WebLogic管理控制台所管理的多个域。
        2 远程Java客户端可以利用MBean漏洞访问受保护的MBean属性或对服务器发动拒绝服务攻击。
        
        3 WebLogic Portal RDBMS认证提供者的数据库口令以明文存储在服务器系统文件的config.xml文件中。如果攻击者能够访问这个文件的话,就可以获得数据库口令。
        
        4 远程认证用户可以查看服务器日志。此外,从WebLogic Server 6.x升级的域可能存在活动的guest帐号,允许认证的guest用户查看服务器日志。
        5 攻击者可以使用部署描述符信息对应用程序展开攻击。
        
        6 如果启用了配置审计的话,更改口令就会触发包含有新旧明文口令的配置审计事件。WebLogic审计提供者将配置审计事件以明文写入服务器系统的DefaultAuditRecorder.log文件中,其他审计提供者也可以将文件以明文写入到审计存储中。
        
        7 编码应用程序代码(如EJB或servlet)中的漏洞可能允许在服务器上解密加密的口令。
        
        8 某些特制的URL可能允许用户访问非预期的Web资源,即使这些资源位于防火墙后。
        
        9 配置完新的安全提供者后,在重启服务器前管理员可能认为供应者是活动的,因为没有迹象表明服务器仍在使用最后一次重启后的安全提供者。这可能导致管理员对新的提供者删除或添加用户、安全策略,而实际上在重启服务器前并没有生效。
        10 在某些配置和某些条件下,连接过滤可能导致服务器性能降低。
        
        11 没有正确地保护服务器的SSL身份。
        12 如果管理员使用控制台设置JNDI资源的安全策略的话,则所生成的策略不能正确的保护JNDI资源。

- 公告与补丁

        目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
        WebLogic Server:
        http://commerce.bea.com/showallversions.jsp?family=WLS
        WebLogic Platform:
        http://commerce.bea.com/showallversions.jsp?family=WLP

- 漏洞信息

22770
BEA WebLogic Admin Console JNDI Resource Security Policy Issue

- 漏洞描述

Unknown or Incomplete

- 时间线

2006-01-24 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站