Vendor Status Note JVNCIAC-O-132

BEA WebLogic Server および Express に含まれる認証の脆弱性

概要

BEA WebLogic Server および WebLogic Express には、証明書による認証処理に脆弱性があります。
結果として、遠隔から第三者が管理者権限を取得する可能性があります。

影響を受けるシステム
 - WebLogic Server および Express 8.1 Service Pack 2 およびそれ以前
 - WebLogic Server および Express 7.0 Service Pack 4 およびそれ以前

想定される影響

遠隔から第三者が管理者権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
BEA Systems Inc.BEA Security Advisory BEA04-54.00
Patches available to prevent user impersonation
参考情報

  1. US-CERT Vulnerability Note VU#566390
    BEA WebLogic Server fails to properly validate certificate chains
  2. ISS X-Force Database: weblogic-trust-certificate-spoofing(15862)
    BEA WebLogic Server and Express custom trust manager certificate spoofing
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-1801 ( 2004-05-12 )
CIAC BulletinO-132 BEA WebLogic Server and Express Certificate Spoofing Vulnerability ( 2004-04-30 )
CVE
PGP署名JVNCIAC-O-132.html.sig
登録日02:01 2004/05/12
更新日02:01 2004/05/12

Copyright(C) 2002-2009 Keio Univ. All rights reserved.