• Tweet

Recientemente un exploit ha sido publicado, el cual puede tener un impacto en la disponibilidad, confidencialidad e integridad de las aplicaciones WebLogic las cuales usan el servidor Web Apache configurado con un plug-in para WebLogic. Esta vulnerabilidad puede ser explotada de forma remota sin autenticación, es decir, que puede ser explotada a través de la red sin necesidad de tener un nombre de usuario y de una contraseña.

Las siguientes versiones de WebLogic Server y WebLogic Express se ven afectadas por esta vulnerabilidad:

• WebLogic Server 10.0 liberado por medio de Maintenance Pack 1, en todas las plataformas.
• WebLogic Server 9.2 liberado por medio de Maintenance Pack 3, en todas las plataformas.
• WebLogic Server 9.1 en todas las plataformas.
• WebLogic Server 9.0 en todas las plataformas.
• WebLogic Server 8.1 liberado por medio de Service Pack 6, en todas las plataformas.
• WebLogic Server 7.0 liberado por medio de Service Pack 7 en todas las plataformas.
• WebLogic Server 6.1 liberado por medio de Service Pack 7 en todas las plataformas.

En la nota de seguridad relacionada con esta cuestión, Oracle nos ofrece dos soluciones, que desde su punto de vista ofrecerán protección contra esta vulnerabilidad.

Apache LimitRequestLine Parameter

Es posible configurar Apache y así evitar esta vulnerabilidad mediante el rechazo de solicitudes que no sean válidas. Para ello, se debe añadir el siguiente parámetro al fichero httpd.conf y reiniciar posteriormente el servicio de Apache:

“LimitRequestLine 4000”

Ver: La documentación de Apache LimitRequestLine para más información.

Nota: este parámetro limita la longitud de la URL a un máximo de 4000 bytes.

Apache mod_security Module

Oracle cree que la solución propuesta modificando el parámetro LimitRequestLine de Apache proporcionará una solución para usuarios de WebLogic que no requieren una URL que superen 4000 bytes. Si hay casos en los que el uso del parámetro LimitRequestLine no sea su opción, los usuarios pueden también considerar el uso de mod_security en entornos del servidor web apache.

Está opción está disponible en código abierto para hacer frente a la vulnerabilidad. El módulo mod_security sólo deben ser instalado y habilitado con el fin de proporcionar una solución para esta vulnerabilidad. Oracle recomienda que sea evaluado en entornos de desarrollo antes de su uso en la producción.

Oracle recomienda encarecidamente hacer una copia de seguridad completa y probar la estabilidad de su sistema a petición al aplicar cualquier parche o solución y borrar cualquier archivo(s) original (s) que se sustituye(n) por el parche o solución.