Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Exécution de code arbitraire sur le composant mod_weblogic du serveur Oracle WebLogic

juillet 2008 par HSC

Date : 31-07-2008

Criticité HSC : 5/5 - extreme

Avis public : Oui

Exploitation : Disponible et publique

Résumé : Une vulnérabilité de type 0-Day permettant d’exécuter du code arbitraire sans authentification affecte le composant mod_weblogic du connecteur Apache utilisé par le serveur Oracle Weblogic.

Source : Oracle

Objet : BEA WebLogic

Description :

Une vulnérabilité de type 0-Day permettant d’exécuter du code arbitraire
et publiquement exploitée depuis le 17 juillet 2008, vient d’être
découverte. Cette vulnérabilité ne nécessite pas d’authentification, ce
qui la rend critique. Elle a obtenu la note CVSS
(http://www.first.org/cvss/cvss-guide.html) maximale de 10.
Une erreur de type débordement de pile est présente dans le module
Apache mod_weblogic. L’envoi de plus de 4000 caractères dans une requête POST sur n’importe quelle URL permet de déclencher un débordement de pile.

Références :
- http://www.oracle.com/technology/deploy/security/alerts/alert_cve2008-3257.html
- http://blogs.zdnet.com/security/?p=1581
-
http://www.oracle.com/technology/deploy/security/cpu/cvssscoringsystem.tm
-
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3257


Voir les articles précédents

    

Voir les articles suivants