BEA Weblogic代理服务器存在多个缓冲溢出漏洞网络安全

2010-03-22    来源:中国IDC产业联盟    
受影响系统: BEA Systems Weblogic Server 5.1x BEA Systems Weblogic Server 4.5x BEA Systems Weblogic Server 4.0x BEA Systems Weblogic Server 3.1.8 - Sun Solaris - RedHat Linux - Microsoft Windows 98 - Microsoft Windows NT 4.0 - Microso

  受影响系统:

  BEA Systems Weblogic Server 5.1x

  BEA Systems Weblogic Server 4.5x

  BEA Systems Weblogic Server 4.0x

  BEA Systems Weblogic Server 3.1.8

  - Sun Solaris

  - RedHat Linux

  - Microsoft Windows 98

  - Microsoft Windows NT 4.0

  - Microsoft Windows NT 2000

  - IBM AIX 4.3

  - IBM AIX 4.2

  - HP HP-UX 11.0

  - HP HP-UX 10.20

  描述:

  BEA System公司的Weblogic服务器提供了一些工具,可以很方便地将其集成到第三方的web服务器中

  去。这是通过插件来完成的,它允许第三方的web服务器以代理的形式将请求转发给Weblogic服务

  器。据BEA的文档描述,插件以可动态加载的库的形式支持Netscape Enterprise Server,IIS和

  Apache。

  这些web服务器可以进行配置,把对servlets和JSP文件的请求重定向到运行在同一台主机或者另外

  一台主机上的Weblogic服务器。BEA Weblogic服务器提供的这些插件中存在几个缓冲溢出漏洞,使

  得远程攻击者可以在运行其web代理服务器的系统上执行任意代码。其直接后果是以运行代理服务器

  的用户的身份远程执行任意代码(通常是UNIX系统上的root用户,MS NT上的系统管理员)。

  <* 来源:Gerardo Richarte ,Hernan Ochoa *>

  建议:

  BEA建议采用如下解决办法:

  版本:

  所有操作系统平台上的BEA WebLogic Server and Express 5.1.x, 4.5.x standalone version

  或者作为BEA WebLogic Enterprise 5.1的一部分的版本

  办法:升级用于第三方web服务器集成的代理插件。

  下载地址:

  BEA Systems service pack Service Pack 5

  http://commerce.beasys.com/downloads/weblogic_server.jsp#wls

1
3