HSC : Exécution de code arbitraire sur le composant mod_weblogic du serveur Oracle WebLogic
juillet 2008 par HSC
Date : 31-07-2008
Criticité HSC : 5/5 - extreme
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Une vulnérabilité de type 0-Day permettant d’exécuter du code arbitraire sans authentification affecte le composant mod_weblogic du connecteur Apache utilisé par le serveur Oracle Weblogic.
Source : Oracle
Objet : BEA WebLogic
Description :
Une vulnérabilité de type 0-Day permettant d’exécuter du code arbitraire
et publiquement exploitée depuis le 17 juillet 2008, vient d’être
découverte. Cette vulnérabilité ne nécessite pas d’authentification, ce
qui la rend critique. Elle a obtenu la note CVSS
(http://www.first.org/cvss/cvss-guide.html) maximale de 10.
Une erreur de type débordement de pile est présente dans le module
Apache mod_weblogic. L’envoi de plus de 4000 caractères dans une requête POST sur n’importe quelle URL permet de déclencher un débordement de pile.
Références :
- http://www.oracle.com/technology/deploy/security/alerts/alert_cve2008-3257.html
- http://blogs.zdnet.com/security/?p=1581
-
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.tm
-
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3257