Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
Oracle BEA WebLogic Server, versions 5.x à 10.x, sauf la version 10.3.Résumé
Une vulnérabilité de Oracle BEA WebLogic Server permet à un utilisateur malveillant de réaliser un déni de service à distance et d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité existe dans le connecteur Apache du serveur Oracle BEA WebLogic Server. Certaines requêtes excessivement longues, de type POST, peuvent provoquer un débordement de pile. Ce débordement est exploitable pour réaliser un déni de service à distance et, dans certaines conditions, exécuter des commandes sur le serveur vulnérable.
Une preuve de faisabilité est disponible sur l'Internet.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Oracle du 08 août 2008 :
https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html
- Document du CERTA CERTA-2008-ALE-011 du 29 juillet 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ALE-011/index.html
- Référence CVE CVE-2008-3257 :
https://www.cve.org/CVERecord?id=CVE-2008-3257