BEA WebLogic bis 7.0 mit SP5 Clustering korruptes Cookie Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
BEA Weblogic Server erhöhen die Produktivität und senken die Kosten der IT-Abteilungen, indem er eine einheitliche, vereinfachte und erweiterbare Architektur bietet. BEA Weblogic Server basiert auf Applikationsinfrastruktur-Technologien von BEA Produkten, die weltweit von tausenden Kunden erfolgreich eingesetzt werden. Gleich mehrere Schwachstellen wurden in WebLogic gefunden. Der Hersteller berichtet im Advisory BEA05-79.00 von einer Denial of Service-Möglichkeit in Cluster-Umgebungen. Der Fehler tritt im Zusammenhang mit korrupten Cookies auf. Diese können das System extrem verlangsamen. Es sind keine weiteren Details oder ein Exploit bekannt. Der Fehler wurde im Service Pack 6 für BEA WebLogic 7.0 behoben. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (18365) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 1229, 1421, 1512 und 1518.
Für den Vulnerability Scanner Nessus wurde am 24.05.2005 ein Plugin mit der ID 18365 (BEA WebLogic <= 8.1 SP4 Multiple Vulnerabilities (XSS, DoS, ID, more)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext r ausgeführt.
Wieder einmal eine Hand voller Sicherheitslücken, die BEA mit einem Schlag publik macht und mittels Patch behebt. Grundsätzlich gut für die Anwender. Aber irgendwie keine gute Bilanz, denn sind fünf Schwachstellen doch ein bisschen viel für ein derlei professionelles Produkt - Und diese Situation ist nicht das erste Mal gegeben. Es fragt sich nämlich wirklich, ob da in dieser Lösung nicht noch andere Sicherheitslücken schlummern, die dem einen oder anderen Cracker schon bekannt sind. Aber erst die Zukunft wird es zeigen können, ob da wirklich Damokles' Schwert über den WebLogic-Administratoren schwebt.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.7
VulDB Base Score: 7.5
VulDB Temp Score: 6.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
ATT&CK: T1499
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 18365
Nessus Name: BEA WebLogic <= 8.1 SP4 Multiple Vulnerabilities (XSS, DoS, ID, more)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: dev2dev.bea.com
Timeline
24.05.2005 🔍24.05.2005 🔍
24.05.2005 🔍
24.05.2005 🔍
24.05.2005 🔍
25.05.2005 🔍
25.05.2005 🔍
07.06.2005 🔍
03.07.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: Mitja Kolsek
Firma: BEA Systems
Status: Bestätigt
CVE: CVE-2005-1742 (🔍)
SecurityTracker: 1014049
SecurityFocus: 13717 - BEA WebLogic Server and WebLogic Express Multiple Remote Vulnerabilities
Secunia: 15486 - BEA WebLogic Multiple Vulnerabilities, Moderately Critical
OSVDB: 16833 - CVE-2005-1742 - BEA - WebLogic - Denial-Of-Service Issue
Vupen: ADV-2005-0602
Siehe auch: 🔍
Eintrag
Erstellt: 07.06.2005 10:45Aktualisierung: 03.07.2019 10:17
Anpassungen: 07.06.2005 10:45 (74), 03.07.2019 10:17 (9)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.