gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2006-000285

BEA WebLogic Server の管理者用コンソールにおける内部ネットワーク情報が漏洩する脆弱性

4.0
2007/04/01 00:00
CVE-2006-2467

JVNDB-2006-000285

BEA WebLogic Server の管理者用コンソールにおける内部ネットワーク情報が漏洩する脆弱性
概要
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ BEA WebLogic Server には、情報漏洩を引き起こす可能性のある以下複数のセキュリティ問題が存在します。 ・WebLogic Server 7.0 において、T3 接続により DNS 情報/IP アドレスなどの内部ネットワーク情報を開示してしまう問題 (BEA06-125.00) ・WebLogic Server 8.1 において、デフォルトのチャネル使用時に DNS 情報を開示してしまう問題 (BEA06-125.00) ・WebLogic Server 8.1 において、NAT が設定されたチャネルが内部ネットワーク情報を開示してしまう問題 (BEA06-125.00) ・デフォルトで有効化されるサーブレット GetIORServlet が、サーバのブートストラップ時のアドレス情報を開示してしまう問題 (BEA06-125.00) ・無効な XML を処理した場合の特定の例外処理により、サーバの詳細情報を開示してしまう問題 (BEA06-125.00) ・トランザクションにおいて SOAP に関連するエラーが生じた場合に、スタックトレースの出力にトランザクションコーディネータとして機能するサーバのホスト名およびポート番号の情報を開示してしまう問題 (BEA06-125.00) ・Administration Console に WebLogic Server の内部 IP アドレスが表示される問題 (BEA06-129.00) リモートあるいはローカルの攻撃者に利用された場合、環境によっては更なる攻撃を試みるための重要な情報を取得される可能性があります。
想定される影響と対策
本脆弱性に伴う影響については、「概要」をご参照ください。
JVNDB-2006-000285は、ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v3の値
深刻度4.0N/A
CVECVE-2006-2467
公表日2006/05/15 00:00
登録日2007/04/01 00:00
更新日2007/04/01 00:00
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。