Múltiples vulnerabilidades en productos BEA WebLogic

Se han anunciado hasta un total de trece vulnerabilidades en productos de la familia BEA WebLogic que pueden permitir a los atacantes evitar comprobaciones de seguridad, descubrir información sensible o provocar denegaciones de servicio.

Entre otros, los problemas se deben a varios errores de validación de entradas, errores en el puerto SSL del servidor WebLogic, un uso incorrecto del nombre de usuario y contraseña definidos en la configuración Bridge-destination o diversos errores en la consola de administración.

Otras vulnerabilidades residen en el comando “configToScript”, en el módulo LDAP, en JMS o en “HttpClusterServlet” y “HttpProxyServlet”.

Se ven afectados los BEA WebLogic Server versiones 9, 8, 7 y 6; BEA WebLogic Portal 9, BEA WebLogic Integration 9 y BEA WebLogic Workshop/Integration 8.

Se recomienda consultar los avisos de seguridad publicados por BEA para obtener más información sobre cada uno de los problemas, así como aplicar las actualizaciones publicadas por BEA y disponibles en BEA WebLogic Server patches :

http://commerce.bea.com/showallversions.jsp?family=WLS

BEA WebLogic Platform patches:

http://commerce.bea.com/showallversions.jsp?family=WLP

Lea también : Kaspersky: “Los troyanos de acceso remoto pueden tener un control casi total de los dispositivos móviles”