S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 mai 2004
N° CERTA-2004-AVI-162
Affaire suivie par: CERT-FR
le 13 mai 2004

Avis du CERT-FR

Objet: Multiples vulnérabilités dans BEA WebLogic

Gestion du document

Référence CERTA-2004-AVI-162
Titre Multiples vulnérabilités dans BEA WebLogic
Date de la première version 13 mai 2004
Date de la dernière version 13 mai 2004
Source(s) Bulletins de sécurité BEA
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • WebLogic Server et WebLogic Express version 8.1 jusqu'au Service Pack 2 ;
  • WebLogic Server et WebLogic Express version 7.0 jusqu'au Service Pack 5.

Toutes les plates-formes sont affectées.

Résumé

Deux vulnérabilités dans BEA WebLogic Server et Express permettent à un utilisateur mal intentionné de désactiver la sécurité mise en place sur une application Web ou bien d'effectuer un déni de service.

Description

Les serveurs WebLogic de la société BEA, fournissent un support pour le déploiement d'applications Java distribuées (serveur J2EE).

Deux vulnérabilités sont présentes dans BEA WebLogic Server et Express :

  • une mauvaise gestion des "tags" lors de la mise à jour des pages WebLogic au format XML permet à un utilisateur mal intentionné d'élever ses privilèges ;
  • une mauvaise gestion de la politique de sécurité permet à un utilisateur préalablement authentifié de démarrer ou de stopper le serveur sans en posseder les droits.

Solution

Appliquer les correctifs disponibles sur le site de l'éditeur (cf. Documentation).

Documentation

Gestion détaillée du document

    le 13 mai 2004
    version initiale.