VulDB: BEA WebLogic bis 9.2 HTTP Request Handler Denial of Service
Allgemein
scipID: 2857
Betroffen: BEA WebLogic bis 9.2
Veröffentlicht: 17.01.2007
Risiko: 
kritisch
Eintrag: 86.1% komplett
Erstellt: 22.01.2007
Aktualisiert: 22.01.2007
Beschreibung
BEA Weblogic Server erhöhen die Produktivität und senken die Kosten der IT-Abteilungen, indem er eine einheitliche, vereinfachte und erweiterbare Architektur bietet. Der BEA Weblogic Server basiert auf Applikationsinfrastruktur-Technologien von verschiedenen BEA Produkten. Gleich zwanzig, teilweise kritische, Schwachstellen wurden in den aktuellen Versionen von BEA WebLogic gefunden. Eine davon betrifft korrupte Header in HTTP-Anfragen. Durch solche sei es einfach möglich, dass ind en Logs sehr viel Platz verbraucht wird. Dies könne zu einer Denial of Service-Attacke führen. Weitere Details oder ein Exploit sind nicht bekannt. BEA hat das Problem mit einem aktuellen Service Pack behoben. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von Secunia (SA23750) dokumentiert.
Einmal mehr ist der Patchday von BEA ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 20 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not.
CVSS
Base Score: 6.3 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Denial of Service
Auswirkungen: Komponenten abstürzen lassen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Patch
0-Day Time: 0 Tage seit gefunden
Patch: dev2dev.bea.com
Timeline
17.01.2007 | Advisory veröffentlicht
22.01.2007 | VulDB Eintrag erstellt
22.01.2007 | VulDB Eintrag aktualisiert
Quellen
Advisory: dev2dev.bea.com
Person: http://www.bea.com
Firma: BEA
Secunia: 23750
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
