Risques

  • Atteinte à la confidentialité des données
  • Déni de service à distance

Systèmes affectés

  • BEA Weblogic Express, versions 6.x, 7.x, 8.x et 9.x.
  • BEA Weblogic Server, versions 6.x, 7.x, 8.x, 9.x et 10.x ;

Résumé

Plusieurs vulnérabilités affectent les produits BEA Weblogic et permettent à un utilisateur malveillant d'accéder à des données sensibles ou de provoquer un déni de service à distance.

Description

Le logiciel BEA Weblogic est un serveur d'applications Java (J2EE).

Plusieurs vulnérabilités affectent les produits BEA Weblogic :

  • deux vulnérabilités dans la négociation des algorithmes de chiffrement utilisés pour une session SSL peuvent provoquer l'utilisation de l'algorithme null. Les données sont alors transmises en clair et accessibles à un utilisateur malveillant ;
  • des requêtes particulières permettent à un utilisateur malveillant de bloquer les fils (threads) du serveur, donc de provoquer un déni de service à distance ;
  • des requêtes avec des en-têtes malformés permettent à un utilisateur malveillant d'épuiser les ressources disque du serveur, donc de provoquer un déni de service à distance.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation