发布日期：2002-09-27
更新日期：2002-10-01

受影响系统：

BEA Systems WebLogic Express 7.0.0.1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Express 6.1 SP2
BEA Systems WebLogic Express 6.1 SP1
BEA Systems Weblogic Server 7.0.0.1
BEA Systems Weblogic Server 7.0
BEA Systems Weblogic Server 6.1 SP2
BEA Systems Weblogic Server 6.1 SP1
BEA Systems WebLogic Express 6.1
    - HP HP-UX 11i
    - HP HP-UX 11.0
    - IBM AIX 4.3.3
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Server SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP3
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP3
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP3
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
BEA Systems Weblogic Server 6.1
    - HP HP-UX 11i
    - HP HP-UX 11.0
    - IBM AIX 4.3.3
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows 2000 Server SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Advanced Server SP3
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
    - RedHat Linux 7.1 x86
    - RedHat Linux 6.2 x86
    - RedHat Linux 6.2
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6

不受影响系统：

BEA Systems WebLogic Express 7.0 SP1
BEA Systems WebLogic Express 6.1 SP3
BEA Systems Weblogic Server 7.0.0.1
BEA Systems Weblogic Server 6.1 SP3

描述：

---

BUGTRAQ  ID: 5819

BEA Systems WebLogic Server是一款企业级别的WEB和无线应用服务程序，BEA WebLogic Express是为WEB和无线应用程序的动态数据进行服务的平台，可使用在多种Linux/Unix操作系统中，也可以使用在Windows操作系统下。

BEA Systems WebLogic Server和Express在回复用户应答时存在安全问题，远程攻击者可以利用这个漏洞获得系统敏感信息。

BEA Systems WebLogic Server和Express对应答数据进行缓冲，可以增加服务程序性能。不过存在一个设计问题，允许缓冲数据共享给两个HTTP应答，也就是说单个用户请求可能导致两个用户获得应答信息，可导致泄露敏感信息。

不过这个条件发生随机性很强，一般来说不可能被利用。

<*来源：BEA Systems security advisory
  
  链接：http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=c
*>

建议：

---

厂商补丁：

BEA Systems
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

1，升级到相应的Service Pack:

BEA WebLogic Server和Express 7.0, released或者7.0.0.1：

升级到Service Pack 1。

2，BEA WebLogic Server和Express 6.1 standalone和作为BEA WebLogic Enterprise 6.1一部分, released或者Service Pack 1版本：

升级到Service Pack 3。

Service packs和信息可以从下面的地址获得：

http://commerce.beasys.com/downloads/weblogic_server.jsp#wls

浏览次数：3607
严重程度：0（网友投票）