WebLogic SSL 证书链用户欺骗
medium Nessus 插件 ID 11628
语言:
简介
远程服务容易遭受假冒攻击。描述
远程 Web 服务器正在运行 WebLogic。此版本中存在的缺陷可允许攻击者通过提供自签名证书执行针对远程服务器的中间人攻击。
具有合法证书的攻击者可利用此缺陷假冒远程服务器上的任何其他用户。
解决方案
请升级到列出的版本或更高版本,因为有报告称其可修复此漏洞。必须升级和/或安装修补程序,因为没有任何已知解决方法。WebLogic Server 和 Express 7.0 或 7.0.0.1:
- 安装 Service Pack 2。
- 如果使用 NSAPI 插件、ISAPI 插件或 Apache 插件,应升级到插件的 7.0 Service Pack 2。
WebLogic Server 和 Express 6.1:
- 安装 Service Pack 5。
- 如果使用 NSAPI 插件、ISAPI 插件或 Apache 插件,应升级到插件的 6.1 Service Pack 5。
WebLogic Server 和 Express 5.1:
- 安装 Service Pack 13。
- 安装 CR090101_src510 修补程序。
WebLogic Enterprise 5.1:
- 安装 Rolling Patch 145 或更高版本。
WebLogic Enterprise 5.0:
- 安装 Rolling Patch 59 或更高版本。
WebLogic Tuxedo 8.1:
- 安装 Rolling Patch 12 或更高版本。
WebLogic Tuxedo 8.0:
- 安装 Rolling Patch 166 或更高版本。
另见
插件详情
严重性: Medium
ID: 11628
文件名: weblogic_casigned_cert_spoofing.nasl
版本: 1.19
类型: remote
系列: Web Servers
发布时间: 2003/5/14
最近更新时间: 2022/4/11
支持的传感器: Nessus
漏洞信息
CPE: cpe:/a:oracle:weblogic_server
必需的 KB 项: www/weblogic
漏洞发布日期: 2003/5/25
参考资料信息
SECUNIA: 8778