{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"BEA WebLogic Server et WebLogic Express version 7.0, ayant une mise \u00e0 jour ant\u00e9rieure au Service Pack 7.","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}},{"description":"BEA WebLogic Server et WebLogic Express version 8.1, ayant une mise \u00e0 jour ant\u00e9rieure au Service Pack 5 ;","product":{"name":"Weblogic","vendor":{"name":"Oracle","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans les produits BEA\nWebLogic. 23 sont cit\u00e9es sur le site de l'\u00e9diteur. Parmi celles-ci :\n\n-   le service de d\u00e9marrage et d'arr\u00eat du serveur par les utilisateurs\n    ayant un r\u00f4le Admin et Operator ne serait pas suffisamment contr\u00f4l\u00e9\n    ;\n-   les sites pourraient, sous certaines conditions, diffuser de\n    l'information contextuelle concernant le r\u00e9seau interne, tels la\n    configuration du NAT, les adresses IPs des machines ou du serveur\n    DNS ;\n-   la confidentialit\u00e9 SSL pourrait \u00eatre contourn\u00e9e par un utilisateur\n    distant, afin de r\u00e9cup\u00e9rer des donn\u00e9es en clair ;\n-   les certificats clients ne seraient pas correctement valid\u00e9s,\n    lorsque les connexions sont mises en cache par le serveur ;\n-   le module de WebLogic Server pour Apache ne manipulerait pas\n    correctement certaines erreurs, pouvant provoquer l'interruption du\n    service Apache ;\n-   les requ\u00eates HTTP ne seraient pas v\u00e9rifi\u00e9es de mani\u00e8re correcte ;\n    une personne malveillante pourrait donc envoyer des paquets\n    sp\u00e9cialement construits, afin de r\u00e9cup\u00e9rer des donn\u00e9es de requ\u00eates\n    HTTP pr\u00e9c\u00e9dentes ;\n-   etc.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2007-0426","url":"https://www.cve.org/CVERecord?id=CVE-2007-0426"},{"name":"CVE-2007-0416","url":"https://www.cve.org/CVERecord?id=CVE-2007-0416"},{"name":"CVE-2007-0411","url":"https://www.cve.org/CVERecord?id=CVE-2007-0411"},{"name":"CVE-2007-0424","url":"https://www.cve.org/CVERecord?id=CVE-2007-0424"},{"name":"CVE-2007-0408","url":"https://www.cve.org/CVERecord?id=CVE-2007-0408"},{"name":"CVE-2007-0420","url":"https://www.cve.org/CVERecord?id=CVE-2007-0420"},{"name":"CVE-2007-0413","url":"https://www.cve.org/CVERecord?id=CVE-2007-0413"},{"name":"CVE-2007-0418","url":"https://www.cve.org/CVERecord?id=CVE-2007-0418"},{"name":"CVE-2007-0410","url":"https://www.cve.org/CVERecord?id=CVE-2007-0410"},{"name":"CVE-2007-0414","url":"https://www.cve.org/CVERecord?id=CVE-2007-0414"},{"name":"CVE-2007-0412","url":"https://www.cve.org/CVERecord?id=CVE-2007-0412"},{"name":"CVE-2007-0422","url":"https://www.cve.org/CVERecord?id=CVE-2007-0422"},{"name":"CVE-2007-0415","url":"https://www.cve.org/CVERecord?id=CVE-2007-0415"},{"name":"CVE-2007-0421","url":"https://www.cve.org/CVERecord?id=CVE-2007-0421"},{"name":"CVE-2007-0425","url":"https://www.cve.org/CVERecord?id=CVE-2007-0425"},{"name":"CVE-2007-0409","url":"https://www.cve.org/CVERecord?id=CVE-2007-0409"},{"name":"CVE-2007-0417","url":"https://www.cve.org/CVERecord?id=CVE-2007-0417"},{"name":"CVE-2007-0419","url":"https://www.cve.org/CVERecord?id=CVE-2007-0419"},{"name":"CVE-2007-0423","url":"https://www.cve.org/CVERecord?id=CVE-2007-0423"}],"links":[],"reference":"CERTA-2007-AVI-044","revisions":[{"description":"version initiale.","revision_date":"2007-01-23T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans les produits BEA\nWebLogic. Ils permettraient \u00e0 une personne malveillante de contourner de\ndiverses mani\u00e8res la politique de s\u00e9curit\u00e9.\n","title":"Multiples vuln\u00e9rabilit\u00e9s de BEA WebLogic","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 BEA du 16 janvier 2007","url":"http://dev2dev.bea.com/advisoriesnotifications/index.html"}]}