受影响系统：

　　BEA Systems Weblogic Server 5.1x

　　BEA Systems Weblogic Server 4.5x

　　BEA Systems Weblogic Server 4.0x

　　BEA Systems Weblogic Server 3.1.8

　　- Sun Solaris

　　- RedHat Linux

　　- Microsoft Windows 98

　　- Microsoft Windows NT 4.0

　　- Microsoft Windows NT 2000

　　- IBM AIX 4.3

　　- IBM AIX 4.2

　　- HP HP-UX 11.0

　　- HP HP-UX 10.20

　　描述：

　　BEA System公司的Weblogic服务器提供了一些工具，可以很方便地将其集成到第三方的web服务器中

　　去。这是通过插件来完成的，它允许第三方的web服务器以代理的形式将请求转发给Weblogic服务

　　器。据BEA的文档描述，插件以可动态加载的库的形式支持Netscape Enterprise Server，IIS和

　　Apache。

　　这些web服务器可以进行配置，把对servlets和JSP文件的请求重定向到运行在同一台主机或者另外

　　一台主机上的Weblogic服务器。BEA Weblogic服务器提供的这些插件中存在几个缓冲溢出漏洞，使

　　得远程攻击者可以在运行其web代理服务器的系统上执行任意代码。其直接后果是以运行代理服务器

　　的用户的身份远程执行任意代码(通常是UNIX系统上的root用户，MS NT上的系统管理员)。

　　<* 来源：Gerardo Richarte ,Hernan Ochoa *>

　　建议：

　　BEA建议采用如下解决办法：

　　版本：

　　所有操作系统平台上的BEA WebLogic Server and Express 5.1.x, 4.5.x standalone version

　　或者作为BEA WebLogic Enterprise 5.1的一部分的版本

　　办法：升级用于第三方web服务器集成的代理插件。

　　下载地址：

　　BEA Systems service pack Service Pack 5

　　http://commerce.beasys.com/downloads/weblogic_server.jsp#wls