CERT-FI haavoittuvuustiedote 097/2008

Vakava haavoittuvuus Oracle WebLogic Server-ohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- ongelman rajoittaminen	Lisätietoja

Oracle WebLogic Server-ohjelmistossa (aikaisemmin tunnettu nimellä BEA WebLogic Server) on löytynyt vakava haavoittuvuus. Tietyllä tavalla muotoillulla HTTP POST-kutsulla hyökkääjä voi aiheuttaa Apachea varten tehdyssä WebLogic-komponentissa (mod_weblogic) puskurin ylivuodon. Kyseistä haavoittuvuutta hyväksikäyttäen hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan tai aiheuttaa palvelimen kaatumisen.
Haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvuudet koskevat kaikkia alustoja. Palvelimet jotka käyttävät Apachen mod_security-moduulia eivät ole haavoittuvia.

• WebLogic Server 10.0 Maintenance Pack 1 ja aikaisemmat versiot
• WebLogic Server 9.2 Maintenance Pack 3 ja aikaisemmat versiot
• WebLogic Server 9.1 ja aikaisemmat versiot
• WebLogic Server 9.0 ja aikaisemmat versiot
• WebLogic Server 8.1 Service Pack 6 ja aikaisemmat versiot
• WebLogic Server 7.0 Service Pack 7 ja aikaisemmat versiot
• WebLogic Server 6.1 Service Pack 7 ja aikaisemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Oracle on ilmoittanut korjaavansa haavoittuvuuden normaalin kolmen kuukauden päivityssyklin ulkopuolella. Ennen korjauksen julkaisua Oracle suosittelee rajoittamaan järjestelmän hyväksymän URL-osoitteen pituuden 4000 merkkiin. Toinen vaihtoehtoinen rajoitusmenetelmä on ottaa käyttöön Apachen mod_security-moduuli.

LISÄTIETOA:

• https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html
  
• http://xforce.iss.net/xforce/xfdb/43885
  
• http://secunia.com/advisories/31146
• CVE-2008-3257
  

PÄIVITYSHISTORIA:

29.7.2008, kello 21.45: Julkaistu

Sivua päivitetty 29.07.2008

Tulostusversio