Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
- BEA Weblogic Express, versions 6.x, 7.x, 8.x et 9.x.
- BEA Weblogic Server, versions 6.x, 7.x, 8.x, 9.x et 10.x ;
Résumé
Plusieurs vulnérabilités affectent les produits BEA Weblogic et permettent à un utilisateur malveillant d'accéder à des données sensibles ou de provoquer un déni de service à distance.
Description
Le logiciel BEA Weblogic est un serveur d'applications Java (J2EE).
Plusieurs vulnérabilités affectent les produits BEA Weblogic :
- deux vulnérabilités dans la négociation des algorithmes de chiffrement utilisés pour une session SSL peuvent provoquer l'utilisation de l'algorithme null. Les données sont alors transmises en clair et accessibles à un utilisateur malveillant ;
- des requêtes particulières permettent à un utilisateur malveillant de bloquer les fils (threads) du serveur, donc de provoquer un déni de service à distance ;
- des requêtes avec des en-têtes malformés permettent à un utilisateur malveillant d'épuiser les ressources disque du serveur, donc de provoquer un déni de service à distance.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité de BEA : http://dev2dev.bea.com/pub/advisory/246
- Bulletins de sécurité de BEA : http://dev2dev.bea.com/pub/advisory/244
- Bulletins de sécurité de BEA : http://dev2dev.bea.com/pub/advisory/247
- Bulletins de sécurité de BEA : http://dev2dev.bea.com/pub/advisory/245
