发布日期：2007-08-28
更新日期：2007-08-30

受影响系统：

BEA Systems Weblogic Server 9.2
BEA Systems Weblogic Server 9.1
BEA Systems Weblogic Server 9.0
BEA Systems Weblogic Server 8.1
BEA Systems Weblogic Server 7.0
BEA Systems Weblogic Server 10.0

描述：

---

BUGTRAQ  ID: 25472
CVE(CAN) ID: CVE-2007-4615

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。

BEA Systems WebLogic在处理SSL连接时存在漏洞，可能导致敏感信息泄露。

在某些情况下，运行在服务器环境以外的SSL客户端可能无法找到创建SSL密码组列表所需的所有密码，这就会导致使用默认的非加密密码；客户端也可能无法支持服务器中任何可用的密码组，这时服务器就会选择使用空密码的密码组，导致SSL通讯没有加密，这样攻击者就可以获取明文传输的信息。

<*来源：BEA Systems （secalert@bea.com）
  
  链接：http://dev2dev.bea.com/pub/advisory/244
        http://secunia.com/advisories/23750/
        http://dev2dev.bea.com/pub/advisory/245
*>

建议：

---

厂商补丁：

BEA Systems
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

40bea.com@ftpna.bea.com/pub/releases/security/CR319130_90_client.jar" target="_blank">ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR319130_90_client.jar
40bea.com@ftpna.bea.com/pub/releases/security/CR319130_81sp6_client.jar" target="_blank">ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR319130_81sp6_client.jar
40bea.com@ftpna.bea.com/pub/releases/security/CR325828_70sp7.jar" target="_blank">ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR325828_70sp7.jar

浏览次数：2711
严重程度：0（网友投票）