BEA WebLogic, nové bezpečnostní záplaty

Výrobce vydal záplaty opravující některé zranitelnosti produktů BEA WebLogic Server a WebLogic Express. Jde o chybu v Crystal Reports umožňující vzdálený přístup k pevným diskům diskům systému. Uvedené skutečnosti může být zneužito k prohlížení obsahu souborů, či zaplnění souborového systému. Další chyba spočívá v interpretaci znaku „” v tagu <role-name> a <security-constraint>. Dle specifikace Servlet 2.3 (sekce SRV.13.3) znak „” znamená všechny role, kdežto WebLogic si údaj vyloží jako všicni uživatelé. Důsledkem této mylné interpretace je skutečnost, že uživatelé, kteří nemají přidělené žádné role mohou přistupovat ke zdrojům, které jsou pomocí znaku „*” určeny jen pro uživatele s přidělenou alespoň jednou rolí. Více viz oznámení výrobce (1, 2).