BEA WebLogic 6.x bis 8.x EJB-Objekt unerlaubt löschen

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.2$0-$5k0.00

Zusammenfassunginfo

Eine problematische Schwachstelle wurde in BEA WebLogic 6.1/7.0/8.1 ausgemacht. Es geht dabei um eine nicht klar definierte Funktion der Komponente EJB Object Handler. Durch Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2004-0713 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.

Detailsinfo

BEA Systems berichtet in ihrem Advisory BEA04-57.00 von einer Schwachstelle in BEA WebLogic Express und Server 6.x bis 8.x. Da die Authentisierung bzw. Limitierung zu spät erfolgt, können durch einen authentisierten Benutzer EJB-Objekte gelöscht werden. Dazu ist jedoch der Zugriff auf eine Applikation erforderlich, die einen remove()-Aufruf zu tätigen pflegt. Zusammen mit dem Hinweis auf die Schwachstelle wurden entsprechende Patches für die betroffenen Software-Versionen herausgegeben. Für die Version 6.1 ist dies das Service Pack 6, für 7.0 Service Pack 5 und 8.1 Service Pack 2. Zusätzlich sollten nur vertrauenswürdigen Benutzern Zugriff auf das System gewähren sowie unerwünschte Netzwerk-Zugriffe mittels Firewalling limitieren. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15928), SecurityFocus (BID 10185†), OSVDB (5569†), Secunia (SA11436†) und SecurityTracker (ID 1009897†) dokumentiert. Unter ftpna.beasys.com werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-624 und VDB-625 sind ähnlich. Be aware that VulDB is the high quality source for vulnerability data.

Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 87197 (Oracle WebLogic Server Multiple Vulnerabilities (BEA04-56.00,BEA04-57.00,BEA04-58.00)) zur Prüfung der Schwachstelle an.

Erst gerade letzte Woche wurden einige Patches für mehr oder weniger schwerwiegende Schwachstellen in BEA WebLogic Express und Server 6.x bis 8.x herausgegeben. Das Produkt scheint momentan unter einem schlechten Stern zu stehen und es erscheint, als müssten die Entwickler in Punkto Sicherheit noch viel lernen. Es bleibt zu hoffen, dass diese jüngste Serie an publik gewordenen Schwachstellen in BEA WebLogic eine Einmaligkeit wird und in Zukunft das Produkt vor unliebsamen Schwachstellen verschont bleiben wird.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.6
VulDB Meta Temp Score: 8.2

VulDB Base Score: 8.6
VulDB Temp Score: 8.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍

Upgrade: WebLogic 6.1
Patch: dev2dev.bea.com

Timelineinfo

20.04.2004 🔍
20.04.2004 +0 Tage 🔍
20.04.2004 +0 Tage 🔍
21.04.2004 +1 Tage 🔍
21.04.2004 +0 Tage 🔍
21.04.2004 +0 Tage 🔍
21.04.2004 +0 Tage 🔍
20.07.2004 +89 Tage 🔍
27.07.2004 +7 Tage 🔍
20.01.2005 +177 Tage 🔍
20.11.2024 +7244 Tage 🔍

Quelleninfo

Hersteller: oracle.com

Advisory: dev2dev.bea.com
Person: http://www.bea.com
Firma: BEA Systems, Inc.
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2004-0713 (🔍)
GCVE (CVE): GCVE-0-2004-0713
GCVE (VulDB): GCVE-100-623
CERT: 🔍
X-Force: 15928 - BEA WebLogic Server and Express allows EJB object deletion, Medium Risk
SecurityFocus: 10185 - BEA WebLogic Server/Express EJB Object Removal Denial Of Service Vulnerability
Secunia: 11436 - BEA WebLogic Unauthorised EJB Object Deletion Vulnerability, Less Critical
OSVDB: 5569 - BEA WebLogic Unauthorized Enterprise JavaBean Object Deletion
SecurityTracker: 1009897
Vulnerability Center: 6870 - BEA WebLogic Server and WebLogic Express Allow DoS, Medium

Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 21.04.2004 14:34
Aktualisierung: 20.11.2024 18:06
Anpassungen: 21.04.2004 14:34 (89), 28.06.2019 10:14 (1), 20.11.2024 18:06 (16)
Komplett: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!