BEA WebLogic Server空密码组信息泄露漏洞

BEA WebLogic Server空密码组信息泄露漏洞

来源：作者：日期：2007-08-28

【聚杰网其他类型】BEA WebLogic Server空密码组信息泄露漏洞BEA WebLogic Server空密码组信息泄露漏洞

发布日期：2007-08-28
更新日期：2007-08-30

受影响系统：

BEA Systems Weblogic Server 9.2
BEA Systems Weblogic Server 9.1
BEA Systems Weblogic Server 9.0
BEA Systems Weblogic Server 8.1
BEA Systems Weblogic Server 7.0
BEA Systems Weblogic Server 10.0

描述：

BUGTRAQ  ID: 25472

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。

BEA Systems WebLogic在处理SSL连接时存在漏洞，可能导致敏感信息泄露。

在某些情况下，运行在服务器环境以外的SSL客户端可能无法找到创建SSL密码组列表所需的所有密码，这就会导致使用默认的非加密密码；客户端也可能无法支持服务器中任何可用的密码组，这时服务器就会选择使用空密码的密码组，导致SSL通讯没有加密，这样攻击者就可以获取明文传输的信息。

<*来源：BEA Systems （secalert@bea.com）

  链接：http://dev2dev.bea.com/pub/advisory/244
        http://secunia.com/advisories/23750/
        http://dev2dev.bea.com/pub/advisory/245
*>

建议：

厂商补丁：

BEA Systems
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

40bea.com@ftpna.bea.com/pub/releases/security/CR319130_90_client.jar" target="_blank">ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR319130_90_client.jar
40bea.com@ftpna.bea.com/pub/releases/security/CR319130_81sp6_client.jar" target="_blank">ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR319130_81sp6_client.jar
40bea.com@ftpna.bea.com/pub/releases/security/CR325828_70sp7.jar" target="_blank">ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR325828_70sp7.jar

以下相关文章您是否也应该阅读一下

在Ubuntu 7.04系统下面安装Bea tuxedo 9.1

配置BEA WebLogic 8.1 JDBC连接-Java频道-中国IT实验室-技术·资讯·教育·服务·社区

使用BEA Workshop开发ZK应用—安装篇-Java频道-中国IT实验室-技术·资讯·教育·服务·社区

BEA JRockit在戴尔双核服务器创最新记录

使用BEA Workshop开发ZK应用—安装篇

配置BEA WebLogic 8.1 JDBC连接

使用BEA Workshop开发ZK应用—安装篇

BEA Tuxedo 开发心得

甲骨文CEO：不排除收购BEA 金钱无所谓

BEA WebLogic Server/Express多个远程及本地安全漏洞

上一篇：IBM WebSphere未知远程安全漏洞