| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in BEA WebLogic bis 7.x gefunden. Sie wurde als kritisch eingestuft. Betroffen davon ist ein unbekannter Prozess der Komponente JVM XML Handler. Dank der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Der Hersteller von BEA WebLogic weist in seinem Security Advisory BEA04-45.00 darauf hin, dass durch eine Denial of Service-Schwachtelle in JVM, die während der Verarbeitung bestimmter XML-Elemente auftritt, die Applikation zum Absturz gebracht werden kann. Während das Problem eigentlich ein lokales darstellt, ist es in der WebLogic-Umgebung ebenfalls remote ausnutzbar. Sun hat den Fehler in JDK 1.3.1_09 und 1.4.1_02 behoben. Entsprechend wird ein Update auf eine nicht verwundbare Version empfohlen. Unter anderem wird der Fehler auch in den Datenbanken von OSVDB (3426†) und Secunia (SA10607†) dokumentiert. Zusätzliche Informationen finden sich unter edocs.bea.com. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Zeitgleich wurden zwei Sicherheitlücken in BEA WebLogic bekannt gegeben. Einer davon, das unter gewissen Umständen mögliche Mitlesen von Passwörtern während deren Eingabe, ist eher unkritisch. Die Denial of Service-Schwachstelle, die jedoch bei der Verarbeitung speziell präparierter XML-Dokumente auftreten kann, könnte durchaus den produktiven Betrieb stören. Es ist also so oder so an der Zeit, die eigene WebLogic-Installation durch das Einspielen der jüngsten Patches auf den neuesten Stand zu bringen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.5
VulDB Temp Score: 5.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: java.sun.com
Timeline
13.01.2004 🔍13.01.2004 🔍
13.01.2004 🔍
13.01.2004 🔍
27.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: http://www.bea.com
Firma: BEA
Status: Nicht definiert
GCVE (VulDB): GCVE-100-475
Secunia: 10607 - BEA WebLogic JVM Denial of Service Vulnerability, Moderately Critical
OSVDB: 3426 - BEA WebLogic JVM DoS
Diverses: 🔍
Eintrag
Erstellt: 13.01.2004 15:58Aktualisierung: 27.06.2019 16:19
Anpassungen: 13.01.2004 15:58 (57), 27.06.2019 16:19 (1)
Komplett: 🔍
Cache ID: 216:7CE:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.