{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<SPAN class=\"textit\">Oracle BEA  WebLogic Server</SPAN>, versions 5.x \u00e0 10.x.","closed_at":"2008-08-08","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 existe dans le connecteur Apache du serveur Oracle BEA\nWebLogic Server. Certaines requ\u00eates excessivement longues, de type POST,\npeuvent provoquer un d\u00e9bordement de pile. Ce d\u00e9bordement est exploitable\npour r\u00e9aliser un d\u00e9ni de service \u00e0 distance et, dans certaines\nconditions, ex\u00e9cuter des commandes sur le serveur vuln\u00e9rable.\n\n  \n  \n\nUne preuve de faisabilit\u00e9 est disponible sur l'Internet.\n\n  \n  \n\nOracle a publi\u00e9 un correctif le 08 ao\u00fbt 2008, d\u00e9taill\u00e9 dans l'avis du\nCERTA CERTA-2008-AVI-394.\n\n## Contournement provisoire\n\nDans l'attente d'un correctif de l'\u00e9diteur, le CERTA recommande :\n\n-   de restreindre \u00e0 l'indispensable l'acc\u00e8s au serveur ;\n-   de filtrer en amont les requ\u00eates POST en les limitant \u00e0 une longueur\n    compatible avec l'utilisation du serveur ;\n-   de journaliser et de surveiller les requ\u00eates adress\u00e9es au serveur.\n\n## Solution\n\nOracle a publi\u00e9 un correctif le 08 ao\u00fbt 2008, d\u00e9taill\u00e9 dans l'avis du\nCERTA CERTA-2008-AVI-394.\n","cves":[{"name":"CVE-2008-3257","url":"https://www.cve.org/CVERecord?id=CVE-2008-3257"}],"links":[{"title":"AVis du CERTA CERTA-2008-AVI-394 du 08 ao\u00fbt 2008 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-394/"},{"title":"Bulletin de s\u00e9curit\u00e9 Oracle du 28 juillet 2008 :","url":"https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html"}],"reference":"CERTA-2008-ALE-011","revisions":[{"description":"version initiale.","revision_date":"2008-07-24T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence Oracle et du CVE.","revision_date":"2008-07-29T00:00:00.000000"},{"description":"publication du correctif.","revision_date":"2008-08-08T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 de <span class=\"textit\">Oracle BEA WebLogic\nServer</span> permet \u00e0 un utilisateur malveillant de r\u00e9aliser un d\u00e9ni de\nservice \u00e0 distance et d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9 dans Oracle BEA WebLogic Server","vendor_advisories":[{"published_at":null,"title":"Alerte de Secunia num\u00e9ro 31146 du 21 juillet 2008","url":"http://secunia.com/advisories/31146/"}]}