Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Oracle BEA WebLogic Server, versions 5.x à 10.x.
Résumé
Une vulnérabilité de Oracle BEA WebLogic Server permet à un utilisateur malveillant de réaliser un déni de service à distance et d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité existe dans le connecteur Apache du serveur Oracle BEA WebLogic Server. Certaines requêtes excessivement longues, de type POST, peuvent provoquer un débordement de pile. Ce débordement est exploitable pour réaliser un déni de service à distance et, dans certaines conditions, exécuter des commandes sur le serveur vulnérable.
Une preuve de faisabilité est disponible sur l'Internet.
Oracle a publié un correctif le 08 août 2008, détaillé dans l'avis du CERTA CERTA-2008-AVI-394.
Contournement provisoire
Dans l'attente d'un correctif de l'éditeur, le CERTA recommande :
- de restreindre à l'indispensable l'accès au serveur ;
- de filtrer en amont les requêtes POST en les limitant à une longueur compatible avec l'utilisation du serveur ;
- de journaliser et de surveiller les requêtes adressées au serveur.
Solution
Oracle a publié un correctif le 08 août 2008, détaillé dans l'avis du CERTA CERTA-2008-AVI-394.
Documentation
- Alerte de Secunia numéro 31146 du 21 juillet 2008 http://secunia.com/advisories/31146/
- AVis du CERTA CERTA-2008-AVI-394 du 08 août 2008 : http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-394/
- Bulletin de sécurité Oracle du 28 juillet 2008 : https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html
- Référence CVE CVE-2008-3257 https://www.cve.org/CVERecord?id=CVE-2008-3257