Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Exécution de code arbitraire sur le composant mod_weblogic du serveur Oracle WebLogic

juillet 2008 par HSC

Date : 31-07-2008

Criticité HSC : 5/5 - extreme

Avis public : Oui

Exploitation : Disponible et publique

Résumé : Une vulnérabilité de type 0-Day permettant d’exécuter du code arbitraire sans authentification affecte le composant mod_weblogic du connecteur Apache utilisé par le serveur Oracle Weblogic.

Source : Oracle

Objet : BEA WebLogic

Description :

Une vulnérabilité de type 0-Day permettant d’exécuter du code arbitraire et publiquement exploitée depuis le 17 juillet 2008, vient d’être découverte. Cette vulnérabilité ne nécessite pas d’authentification, ce qui la rend critique. Elle a obtenu la note CVSS (http://www.first.org/cvss/cvss-guide.html) maximale de 10. Une erreur de type débordement de pile est présente dans le module Apache mod_weblogic. L’envoi de plus de 4000 caractères dans une requête POST sur n’importe quelle URL permet de déclencher un débordement de pile.

Références : - http://www.oracle.com/technology/deploy/security/alerts/alert_cve2008-3257.html - http://blogs.zdnet.com/security/?p=1581 - http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.tm - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3257




Voir les articles précédents

    

Voir les articles suivants