BEA Weblogic代理服务器存在多个缓冲溢出漏洞
2010-03-22 中国IDC产业联盟
受影响系统:
BEA Systems Weblogic Server 5.1x
BEA Systems Weblogic Server 4.5x
BEA Systems Weblogic Server 4.0x
BEA Systems Weblogic Server 3.1.8
- Sun Solaris
- RedHat Linux
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- IBM AIX 4.3
- IBM AIX 4.2
- HP HP-UX 11.0
- HP HP-UX 10.20
描述:
BEA System公司的Weblogic服务器提供了一些工具,可以很方便地将其集成到第三方的web服务器中
去。这是通过插件来完成的,它允许第三方的web服务器以代理的形式将请求转发给Weblogic服务
器。据BEA的文档描述,插件以可动态加载的库的形式支持Netscape Enterprise Server,IIS和
Apache。
这些web服务器可以进行配置,把对servlets和JSP文件的请求重定向到运行在同一台主机或者另外
一台主机上的Weblogic服务器。BEA Weblogic服务器提供的这些插件中存在几个缓冲溢出漏洞,使
得远程攻击者可以在运行其web代理服务器的系统上执行任意代码。其直接后果是以运行代理服务器
的用户的身份远程执行任意代码(通常是UNIX系统上的root用户,MS NT上的系统管理员)。
<* 来源:Gerardo Richarte ,Hernan Ochoa *>
建议:
BEA建议采用如下解决办法:
版本:
所有操作系统平台上的BEA WebLogic Server and Express 5.1.x, 4.5.x standalone version
或者作为BEA WebLogic Enterprise 5.1的一部分的版本
办法:升级用于第三方web服务器集成的代理插件。
下载地址:
BEA Systems service pack Service Pack 5
http://commerce.beasys.com/downloads/weblogic_server.jsp#wls