Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

Oracle BEA WebLogic Server, versions 5.x à 10.x.

Résumé

Une vulnérabilité de Oracle BEA WebLogic Server permet à un utilisateur malveillant de réaliser un déni de service à distance et d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité existe dans le connecteur Apache du serveur Oracle BEA WebLogic Server. Certaines requêtes excessivement longues, de type POST, peuvent provoquer un débordement de pile. Ce débordement est exploitable pour réaliser un déni de service à distance et, dans certaines conditions, exécuter des commandes sur le serveur vulnérable.

Une preuve de faisabilité est disponible sur l'Internet.

Oracle a publié un correctif le 08 août 2008, détaillé dans l'avis du CERTA CERTA-2008-AVI-394.

Contournement provisoire

Dans l'attente d'un correctif de l'éditeur, le CERTA recommande :

  • de restreindre à l'indispensable l'accès au serveur ;
  • de filtrer en amont les requêtes POST en les limitant à une longueur compatible avec l'utilisation du serveur ;
  • de journaliser et de surveiller les requêtes adressées au serveur.

Solution

Oracle a publié un correctif le 08 août 2008, détaillé dans l'avis du CERTA CERTA-2008-AVI-394.

Documentation