{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"BEA WebLogic Server 7.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA WebLogic Server 8.x.","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA WebLogic Express versions 6.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA WebLogic Express versions 7.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA WebLogic Server 6.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA WebLogic Express versions 8.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\n-   Un utilisateur mal intentionn\u00e9 peut r\u00e9cup\u00e9rer des informations\n    confidentielles ou r\u00e9aliser un d\u00e9ni de service sur l'arborescence\n    JNDI (Java Naming and Directory Interface) par le biais d'un objet\n    malicieux en utilisant une vuln\u00e9rabilit\u00e9 li\u00e9e \u00e0 une mauvaise\n    protection sur cette arborescence.\n-   Certaines commandes reserv\u00e9es pour les administrateurs\n    weblogic.Admin peuvent \u00eatre ex\u00e9cut\u00e9es par un utilisateur mal\n    intentionn\u00e9 sans que celui-ci soit authentifi\u00e9 comme administrateur\n    sur le syst\u00e8me. Cette vuln\u00e9rabilit\u00e9 n'affecte pas les logiciels BEA\n    WebLogic Express 6.x et BEA WebLogic Server 6.x.\n-   Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans l'installation du logiciel peut \u00eatre\n    utilis\u00e9e par un utilisateur mal intentionn\u00e9 pour acc\u00e8der aux\n    ressources du syst\u00e8me. Les logiciels install\u00e9s sur les plates-formes\n    Windows ne sont pas affect\u00e9s par cette vuln\u00e9rabilit\u00e9.\n-   Des mots de passe \u00e9crits en clair dans des utilitaires en ligne de\n    commande peuvent \u00eatre relus par un utilisateur local mal intentionn\u00e9\n    pour \u00e9lever ses privil\u00e8ges.\n-   Une vuln\u00e9rabilit\u00e9 sur les plates-formes linux permet \u00e0 un\n    utilisateur local mal intentionn\u00e9 de relire le mot de passe de\n    l'administrateur au moment du red\u00e9marrage de la machine.\n-   Un utilisateur mal intentionn\u00e9, via une requ\u00eate HTTP malicieusement\n    construite, peut r\u00e9cup\u00e9rer le num\u00e9ro de version du serveur BEA\n    WebLogic.\n-   Une vuln\u00e9rabilit\u00e9 dans BEA WebLogic peut entra\u00eener l'arr\u00eat de\n    l'application dans un mode d\u00e9grad\u00e9 et permettre \u00e0 un utilisateur mal\n    intentionn\u00e9 de compromettre le syst\u00e8me. Cette vuln\u00e9rabilit\u00e9\n    n'affecte pas les logiciels BEA WebLogic Express 6.x et BEA WebLogic\n    Server 6.x.\n-   Des restrictions insuffisantes sur les comptes utilisateur qui sont\n    d\u00e9sactiv\u00e9s peuvent \u00eatre exploit\u00e9es par un utilisateur mal\n    intentionn\u00e9. Cette vuln\u00e9rabilit\u00e9 n'est exploitable que si le serveur\n    d'authentification Active Directory LDAP est utilis\u00e9. Cette\n    vuln\u00e9rabilit\u00e9 n'affecte pas les logiciels BEA WebLogic Express 6.x\n    et BEA WebLogic Server 6.x.\n-   Des informations de configuration et des donn\u00e9es confidentielles\n    peuvent \u00eatre envoy\u00e9es en clair et \u00eatre r\u00e9cup\u00e9r\u00e9es par un utilisateur\n    mal intentionn\u00e9 pour compromettre le syst\u00e8me. Cette vuln\u00e9rabilit\u00e9\n    n'affecte pas les logiciels BEA WebLogic Express 6.x et BEA WebLogic\n    Server 6.x.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Site internet de BEA :","url":"http://www.bea.com"}],"reference":"CERTA-2004-AVI-321","revisions":[{"description":"version initiale.","revision_date":"2004-09-17T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"},{"description":"Diffusion d'informations confidentielles"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans BEA WebLogic. Ces\nvuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser\nun d\u00e9ni de service, de contourner la politique de s\u00e9curit\u00e9 ou encore de\nr\u00e9cup\u00e9rer des informations confidentielles sur le syst\u00e8me vuln\u00e9rable.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans BEA WebLogic","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 BEA","url":"http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BE04-73.00.jsp"}]}