CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.9 | $0-$5k | 0.00 |
Der Hersteller von BEA WebLogic weist in seinem Security Advisory BEA04-45.00 darauf hin, dass durch eine Denial of Service-Schwachtelle in JVM, die während der Verarbeitung bestimmter XML-Elemente auftritt, die Applikation zum Absturz gebracht werden kann. Während das Problem eigentlich ein lokales darstellt, ist es in der WebLogic-Umgebung ebenfalls remote ausnutzbar. Sun hat den Fehler in JDK 1.3.1_09 und 1.4.1_02 behoben. Entsprechend wird ein Update auf eine nicht verwundbare Version empfohlen. Zusätzliche Informationen finden sich unter edocs.bea.com.
Zeitgleich wurden zwei Sicherheitlücken in BEA WebLogic bekannt gegeben. Einer davon, das unter gewissen Umständen mögliche Mitlesen von Passwörtern während deren Eingabe, ist eher unkritisch. Die Denial of Service-Schwachstelle, die jedoch bei der Verarbeitung speziell präparierter XML-Dokumente auftreten kann, könnte durchaus den produktiven Betrieb stören. Es ist also so oder so an der Zeit, die eigene WebLogic-Installation durch das Einspielen der jüngsten Patches auf den neuesten Stand zu bringen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.5
VulDB Temp Score: 5.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: java.sun.com
Timeline
13.01.2004 🔍13.01.2004 🔍
13.01.2004 🔍
13.01.2004 🔍
27.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: http://www.bea.com
Firma: BEA
Status: Nicht definiert
Secunia: 10607 - BEA WebLogic JVM Denial of Service Vulnerability, Moderately Critical
OSVDB: 3426 - BEA WebLogic JVM DoS
Diverses: 🔍
Eintrag
Erstellt: 13.01.2004 15:58Aktualisierung: 27.06.2019 16:19
Anpassungen: 13.01.2004 15:58 (57), 27.06.2019 16:19 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.