Múltiples vulnerabilidades en productos BEA WebLogic
Se han anunciado hasta un total de trece vulnerabilidades en productos de la familia BEA WebLogic que pueden permitir a los atacantes evitar comprobaciones de seguridad, descubrir información sensible o provocar denegaciones de servicio.
Entre otros, los problemas se deben a varios errores de validación de entradas, errores en el puerto SSL del servidor WebLogic, un uso incorrecto del nombre de usuario y contraseña definidos en la configuración Bridge-destination o diversos errores en la consola de administración.
Otras vulnerabilidades residen en el comando “configToScript”, en el módulo LDAP, en JMS o en “HttpClusterServlet” y “HttpProxyServlet”.
Se ven afectados los BEA WebLogic Server versiones 9, 8, 7 y 6; BEA WebLogic Portal 9, BEA WebLogic Integration 9 y BEA WebLogic Workshop/Integration 8.
Se recomienda consultar los avisos de seguridad publicados por BEA para obtener más información sobre cada uno de los problemas, así como aplicar las actualizaciones publicadas por BEA y disponibles en BEA WebLogic Server patches :
http://commerce.bea.com/showallversions.jsp?family=WLS
BEA WebLogic Platform patches:
http://commerce.bea.com/showallversions.jsp?family=WLP