Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
Oracle BEA WebLogic Server, versions 5.x à 10.x.Résumé
Une vulnérabilité de Oracle BEA WebLogic Server permet à un utilisateur malveillant de réaliser un déni de service à distance et d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité existe dans le connecteur Apache du serveur Oracle BEA WebLogic Server. Certaines requêtes excessivement longues, de type POST, peuvent provoquer un débordement de pile. Ce débordement est exploitable pour réaliser un déni de service à distance et, dans certaines conditions, exécuter des commandes sur le serveur vulnérable.
Une preuve de faisabilité est disponible sur l'Internet.
Oracle a publié un correctif le 08 août 2008, détaillé dans l'avis du CERTA CERTA-2008-AVI-394.
Contournement provisoire
Dans l'attente d'un correctif de l'éditeur, le CERTA recommande :
- de restreindre à l'indispensable l'accès au serveur ;
- de filtrer en amont les requêtes POST en les limitant à une longueur compatible avec l'utilisation du serveur ;
- de journaliser et de surveiller les requêtes adressées au serveur.
Solution
Oracle a publié un correctif le 08 août 2008, détaillé dans l'avis du CERTA CERTA-2008-AVI-394.
Documentation
- Bulletin de sécurité Oracle du 28 juillet 2008 :
https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html
- AVis du CERTA CERTA-2008-AVI-394 du 08 août 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-394/
- Alerte de Secunia numéro 31146 du 21 juillet 2008 :
http://secunia.com/advisories/31146/
- Référence CVE CVE-2008-3257 :
https://www.cve.org/CVERecord?id=CVE-2008-3257
