{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"BEA Weblogic Server 8.x.","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA Weblogic Express 7.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA Weblogic Server 7.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA Weblogic Express 6.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA Weblogic Express 8.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA Weblogic Server 6.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA Weblogic Portal 8.x ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\n-   Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte sur Weblogic Express/Server 8.1\n    SP2/SP3 permettant \u00e0 un utilisateur mal intentionn\u00e9 de limiter ou de\n    r\u00e9initialiser les connexions JDBC (Java Database Connectivity)\n    (CAN-2005-1742).\n-   Une vuln\u00e9rabilit\u00e9 dans le traitement des exceptions est pr\u00e9sente sur\n    Weblogic Express/Server 8.1 SP3 et Weblogic Express/Server 7.0 SP5.\n    Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal intentionn\u00e9 de\n    r\u00e9aliser un d\u00e9ni de service du service vuln\u00e9rable (CAN-2005-1743).\n-   Une vuln\u00e9rabilit\u00e9 sur Weblogic Express/Server 7.0 SP5 permet \u00e0 un\n    utilisateur de se reconnecter \u00e0 une application web ayant chang\u00e9 ses\n    contraintes de s\u00e9curit\u00e9 sans s'authentifier de nouveau\n    (CERTA-2005-1744).\n-   Une vulnerabilit\u00e9 sur Weblogic Portal 8.1 SP3 permet de visualiser\n    le mot de passe en clair lors d'un \u00e9chec de connexion\n    (CAN-2005-1745).\n-   Une vuln\u00e9rabilit\u00e9 dans le traitement de l'identifiant de session sur\n    Weblogic Express/Server 7.0 SP5 s'ex\u00e9cutant sur une grappe permet \u00e0\n    un utilisateur mal intentionn\u00e9 de cr\u00e9er un ralentissement du\n    cluster, via un identifiant malicieusement construit\n    (CAN-2005-1746).\n-   Une vuln\u00e9rabilit\u00e9 de type \u00ab cross site scripting \u00bb est pr\u00e9sente sur\n    Weblogic Express/Server 6.1 SP7, Weblogic Express/Server 7.0 SP6 et\n    Weblogic Express et Server 8.1 SP4 (CAN-2005-1747).\n-   Une vuln\u00e9rabilit\u00e9 sur le serveur LDAP sur Weblogic Express/Server\n    8.1 SP4 et Weblogic Express/Server 7.0 SP5 permet \u00e0 un utilisateur\n    mal intentionn\u00e9 d'obtenir des informations sur les utilisateurs de\n    la base ou de r\u00e9aliser un d\u00e9ni de service sur le serveur vuln\u00e9rable\n    (CAN-2005-1748).\n-   Une vuln\u00e9rabilit\u00e9 de type debordement de m\u00e9moire est pr\u00e9sente sur\n    Weblogic Express/Server 6.1 SP4. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre\n    exploit\u00e9e pour r\u00e9aliser un deni de service sur le syst\u00e8me vuln\u00e9rable\n    (CAN-2005-1749).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 BEA 131","url":"http://dev2dev.bea.com/pub/advisory/131"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 128","url":"http://dev2dev.bea.com/pub/advisory/128"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 135","url":"http://dev2dev.bea.com/pub/advisory/135"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 132","url":"http://dev2dev.bea.com/pub/advisory/132"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 125","url":"http://dev2dev.bea.com/pub/advisory/125"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 129","url":"http://dev2dev.bea.com/pub/advisory/129"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 126","url":"http://dev2dev.bea.com/pub/advisory/126"},{"title":"Bulletin de s\u00e9curit\u00e9 BEA 127","url":"http://dev2dev.bea.com/pub/advisory/127"}],"reference":"CERTA-2005-AVI-201","revisions":[{"description":"version initiale ;","revision_date":"2005-06-09T00:00:00.000000"},{"description":"modification du correctif pour la vuln\u00e9rabilit\u00e9 de type <SPAN class=\"textit\">Cross Site Scripting</SPAN>.","revision_date":"2005-08-26T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Multiples vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans BEA Weblogic peuvent \u00eatre\nexploit\u00e9es par un utilisateur mal intentionn\u00e9 pour obtenir de\nl'information sensible ou encore r\u00e9aliser un d\u00e9ni de service sur le\nsyst\u00e8me vuln\u00e9rable.\n","title":"Multiples vuln\u00e9rabilit\u00e9s sur BEA Weblogic","vendor_advisories":[{"published_at":null,"title":"Bulletins de s\u00e9curit\u00e9 BEA","url":null}]}