BEA 安全公告存档页面

本页面包含对 2009 年 4 月前的所有 BEA 安全公告的引用。2009 年 4 月以后，所有的 BEA 安全公告将会发布在 http://www.oracle.com/technology/global/cn/deploy/security/alerts.htm。

2008 年 7 月、2008 年 10 月和 2009 年 1 月发布的 BEA 产品安全公告更新（重要补丁更新）的高级别执行概要现已发布在 http://www.oracle.com/technology/global/cn/deploy/security/alerts.htm。所有 Oracle 重要补丁更新和安全警告现已发布在 http://www.oracle.com/technology/global/cn/deploy/security/alerts.htm。

作为一项政策，如果任何 BEA 产品出现了任何安全漏洞相关问题，Oracle 通常会发布公告和带有相应操作流程的说明。因为您的站点、数据和代码的安全是我们最关注的，我们承诺将就所有安全漏洞相关问题进行清楚且公开的交流。

从 Oracle 的 2008 年 7 月的重要补丁更新开始：

BEA 产品的安全公告信息将需遵守 http://www.oracle.com/technology/global/cn/deploy/security/securityfixlifecycle.html 中所描述的政策。
BEA 产品的安全公告将在安全公告文档中使用常见漏洞和披露 (CVE) 标识符而不是之前使用的编号规则（漏洞号）。更多详细信息，请访问 http://www.oracle.com/technology/deploy/security/cpu/cpufaq.htm。

要查看 2008 年 8 月和 2009 年 4 月之间发布的所有 Oracle JRockit 安全公告，请单击此处。

2008 年 10 月重要补丁更新是 WebLogic Server/Express 6.1 的最后一次重要补丁更新。如 Oracle 生命周期支持策略 http://www.oracle.com/support/library/brochure/lifetime-support-technology.pdf 中所述，对 WebLogic Server/Express 6.1 的扩展支持到 2008 年 11 月仍然有效。

Oracle 已经完成了对 BEA 的收购，目前我们正着手整合 BEA 的业务运营。由于流程变更，我们希望之前的 BEA 客户登录到 Oracle Support 来下载安全公告修复程序。

以下是 2009 年 4 月以前发布的所有 BEA 安全公告：

日期	编号	主题	类型	威胁*	严重性**	CVSS 评分***	受影响的产品****
2009-01-13	CVE-2008-5462	WebLogic Portal 中的权限提升漏洞	公告	-	-	6.8（中）	WLP 10.3 GA WLP 10.2 GA WLP 10.0 (-MP1) WLP 9.2 (-MP3) WLS 8.1 (-SP6)
2009-01-13	CVE-2008-5461	WebLogic 控制台中的权限提升漏洞	公告	-	-	6.8（中）	WLS 10.3 WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (SP6) WLS 7.0 (SP7)
2009-01-13	CVE-2008-5460	JSP 和 Servlet 中的信息泄露漏洞	公告	-	-	2.6（低）	WLS 10.3 GA(-SP5) WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0
2009-01-13	CVE-2008-5459	WLS web 服务安全策略未执行	公告	-	-	5.0（中）	WLS 10.3 GA
2009-01-13	CVE-2008-5457	适用于 Apache、Sun 和 IIS Web 服务器的 WebLogic 插件中的安全漏洞	公告	-	-	10.0（高）	WLS 10.3 WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (SP6) WLS 7.0 (SP7)
2008-10-14	CVE-2008-4013	受保护的 web 应用程序可能在特定情况下显示	公告	-	-	6.8（中）	WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (SP4 -SP6)
2008-10-14	CVE-2008-4012	一些 NetUI 页面流中的权限提升漏洞	公告	-	-	5.1（中）	WLW 8.1 (-SP5)
2008-10-14	CVE-2008-4011	一些应用程序的权限提升	公告	-	-	2.1（低）	WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0
2008-10-14	CVE-2008-4010	一些 NetUI 标签中的权限提升漏洞	公告	-	-	6.8（中）	WLW 10.3 GA WLW 10.2 GA WLW 10.0 (-MP1) WLW 9.2 (-MP3) WLW 9.1 GA WLW 9.0 GA WLW 8.1 (-SP6)
2008-10-14	CVE-2008-4009	使用多个授权者的情况下的权限提升漏洞	公告	-	-	5.1（中）	WLS 9.1
2008-10-14	CVE-2008-4008	适用于 Apache 的 WebLogic 插件中的安全漏洞	公告	-	-	10.0（高）	WLS 10.3 WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2008-08-04	CVE-2008-3257	适用于 Apache 的 WebLogic 插件中的安全漏洞的补丁	公告	-	-	10.0（高）	WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2008-07-15	CVE-2008-2582	WebLogic Server 中的拒绝服务漏洞	公告	-	-	5.0（中）	WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7)
2008-07-15	CVE-2008-2581	UDDI Explorer 中的权限提升漏洞	公告	-	-	5.1（低）	WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7)
2008-07-15	CVE-2008-2580	JSP 页面中的信息泄露	公告	-	-	2.6（低）	WLS 10.0 (-MP1) WLS 9.2 (-MP3) WLS 9.1 WLS 9.0
2008-07-15	CVE-2008-2579	适用于 Apache、Sun 和 IIS Web 服务器的 WebLogic 插件中的信息泄露漏洞	公告	-	-	6.8（中）	2008 年 7 月 15 日前的插件
2008-07-15	CVE-2008-2578	WebLogic 控制台或服务器日志中的信息泄露漏洞	公告	-	-	4.3（中）	WLS 10.0 WLS 9.2 (-MP1)
2008-07-15	CVE-2008-2577	控制台/WLST 中的权限提升漏洞	公告	-	-	4.6（中）	WLS 9.2 MP1
2008-07-15	CVE-2008-2576	ForeignJMS 组件中的信息泄露漏洞	公告	-	-	4.1（中）	WLS 9.2 WLS 9.1 WLS 9.0 WLS 8.1 (-SP6)
2008-04-16	BEA08-201.00	Java 运行时环境中的多个安全漏洞	公告	高	高	9.0（高）	BEA JRockit R27.5.0 或更低版本：JDK 和 JRE 6 Update 3 以及更低版本 BEA JRockit R27.5.0 或更低版本：JDK 和 JRE 5.0 Update 14 以及更低版本 BEA JRockit R27.5.0 或更低版本：SDK 和 JRE 1.4.2 Update 16 以及更低版本
2008-02-19	BEA08-183.00	WebLogic Portal 页面上的安全策略可能由于管理员在该页面上执行某些编辑操作而无意间丢失。	公告	低	中	2.1（低）	WLP 8.1 (SP3-SP6)
2008-02-19	BEA08-184.00	可浮动 portlet 实例上的授权可被绕过	公告	低	中	4.3（中）	WLP 8.1 (-SP6)
2008-02-19	BEA08-185.00	使用 WebLogic Workshop NetUI 页面流的 Web 应用程序中的跨站点脚本编写 (XSS) 漏洞	公告	高	高	7.6（高）	WLW 8.1 (-SP5)
2008-02-19	BEA08-186.00	BEA Plumtree Portal 跨站点脚本编写 (XSS) 漏洞	公告	中	中	5（中）	BEA AquaLogic Interaction 6.1 (-MP1) BEA Plumtree Foundation 6.0 (-SP1)
2008-02-19	BEA08-187.00	Web 服务 WSDL 和策略对未授权 HTTP 客户端公开	公告	中	低	2.6（低）	WLS 9.1 WLS 9.0
2008-02-19	BEA08-188.00	JavaScript 可被注入到 WLP Groupspace 应用程序并可被 XSS 利用	公告	中	中	4.0（低）	WLP 10.0 WLP 9.2 (-MP1)
2008-02-19	BEA08-110.01	config.xml 文件中的明文数据库口令	公告	低	中		WLP 8.1 (-SP3) WLP 7.0 (SP4 - SP7)
2008-02-19	BEA08-189.00	使用 WebLogic Workshop NetUI 页面流或 Apache Beehive NetUI 页面流的 Web 应用程序中的跨站点脚本编写 (XSS) 漏洞	公告	高	高	6.8（中）	WLW 10.0 WLW 9.2 (-MP1) WLW 9.1 WLW 9.0 WLW 8.1 (-SP6)
2008-02-19	BEA08-190.00	WebLogic Portal 管理控制台会话可能无意间从 https 端口重定向到 http 端口	公告	中	高	8.8（高）	WLP 10.0 WLP 9.2 (-MP2)
2008-02-19	BEA08-191.00	篡改 HTML 请求头可能导致权限的提升	公告	高	中	6.4（中）	WLS 10.0 WLS 9.2 (-MP1) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS7.0 (-SP7) WLS 6.1 (-SP7)
2008-02-19	BEA08-192.00	从门户的一个页面中删除内容 portlet 时，所有权限都从应用程序中移除。	公告	低	中	3.6（低）	WLP 10.0 WLP 9.2 (-MP1)
2008-02-19	BEA08-193.00	非授权用户可收到来自受保护 JMS Topic 目的地的消息	公告	中	高	8.3（高）	WLS 10 WLS 9.2 (-MP1) WLS 9.1 WLS 9.0
2008-02-19	BEA08-194.00	非授权用户可向受保护的分布式列队发送消息	公告	中	高	8.3（高）	WLS 10 WLS 9.2 (-MP1) WLS 9.1 WLS 9.0
2008-02-19	BEA08-195.00	控制台的 Unexpected Exception 页面中的跨站点脚本编写漏洞	公告	中	高	6.1（中）	WLS 10.0 WLS 9.2 (-MP1) WLS 9.1 WLS 9.0
2008-02-19	BEA08-196.00	Session Fixation（会话固化）利用可能导致提升权限	公告	低	高	6.8（高）	WLS 10.0 WLS 9.2 (-MP1) WLS 8.1 (SP4 - SP6)
2008-02-19	BEA08-197.00	帐户锁定可被绕过，使帐户向强行口令攻击公开	公告	中	中	6.8（中）	WLS 10.0 (-MP1) WLS 9.2 (-MP2) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7)
2008-02-19	BEA08-198.00	Java Web Start 和适用于浏览器的 Java 插件中的多个安全漏洞	公告	低	中	2.4（低）	BEA JRockit R24：JRockit R24.3-1.4.2_04 至 R24.5-1.4.2_08 BEA JRockit R25：JRockit R25.0-1.5.0 至 R25.2-1.5.0_03
2008-02-19	BEA08-80.04	用于防止多个跨站点脚本编写 (XSS) 漏洞的补丁	公告	高	高		WLS 10.0 (-MP1) WLS 9.2 (-MP2) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2008-02-19	BEA08-159.01	通过 WebLogic 代理 servlet 服务的请求可获取提升权限	公告	中	高	5.6（中）	WLS 9.1 WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2008-02-19	BEA08-199.00	仔细构建的 URL 可能造成 Sun、IIS 或 Apache web 服务器崩溃	公告	高	高	5.0（中）	2007 年 11 月以前的插件
2008-02-19	BEA08-200.00	服务器文件可被远程用户访问	公告	高	高	7.8（高）	BEA AquaLogic Collaboration 4.2 (-MP1) BEA Plumtree Collaboration 4.1 (-SP2)
2007-12-12	BEA07-182.00	应用程序文件和资源可远程访问	公告	中	高	8（高）	WLMS 3.3 WLMS 3.5 WLMS 3.6 (-SP1)
2007-11-30	BEA07-181.00	BEA Plumtree Foundation 搜索工具允许未授权 guest 用户搜索用户对象	公告	中	中	4.7（中）	BEA Plumtree Foundation 6.0 BEA AquaLogic Interaction 6.1 BEA AquaLogic Interaction 6.1 MP1
2007-11-30	BEA07-180.00	BEA Plumtree Foundation 完整版漏洞	公告	低	低	2.3（低）	BEA Plumtree Foundation 6.0 BEA AquaLogic Interaction 6.1 BEA AquaLogic Interaction 6.1 MP1
2007-11-30	BEA07-179.00	BEA Plumtree Foundation 内部主机名泄露漏洞	公告	低	低	2.3（低）	BEA Plumtree Foundation 6.0 BEA AquaLogic Interaction 6.1 BEA AquaLogic Interaction 6.1 MP1
2007-08-28	BEA07-178.00	Java 安全套接字扩展没有正确处理 SSL/TLS 握手请求导致拒绝服务 (DoS) 情况的发生	公告	高	高	3.3（低）	使用 1.6.0_1 或更低版本的 JRockit R27.3.1 或更低版本使用 1.5.0 _11 Updates 7、8、9、10 和 11 的 JRockit R27.3.1 或更低版本使用 1.4.2 Updates 11、12、13 和 14 的 JRockit R27.3.1 或更低版本
2007-08-28	BEA07-177.00	Java 运行时环境中的多个安全漏洞	公告	高	高	5.3（中）	使用 1.6.0_1 或更低版本的 JRockit R27.3.1 或更低版本使用 1.5.0 _11 或更低版本的 JRockit R27.3.1 或更低版本使用 1.4.2 _14 或更低版本的 JRockit R27.3.1 或更低版本使用 JRE 1.3.1_20 或更低版本的 JRockit 7.0 SP6 RP1 或更低版本
2007-08-28	BEA07-176.00	服务器可能会为与 SSL 客户端进行的 SSL 通信选择使用空白加密的加密套件	公告	中	中	5.9（中）	WLS 10.0 WLS 9.2 (-MP1) WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7)
2007-08-28	BEA07-175.00	SSL 客户端可能找不到所有可用加密套件从而导致默认空白加密（无加密）的使用	公告	中	中	5.9（中）	WLS 10.0 WLS 9.2 (-MP2) WLS 9.1 WLS 9.0 WLS 8.1 (SP2-SP6) WLS 7.0 SP7
2007-08-28	BEA07-148.01	格式错误的头可能导致高磁盘消耗	公告	高	中		WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2007-08-28	BEA07-87.02	恶意客户端可导致线程在服务器上挂起。	公告	高	高		WLS 8.1 (-SP4) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2007-05-23	BEA07-164.01	上载存档时，可能未将安全策略应用到 WebLogic 管理部署人员	公告	中	高	4.8（中）	WLS 9.1 WLS 9.0
2007-05-14	BEA07-174.00	不受信任的 Applet 可能会提升权限	公告	高	高	8.0（高）	JRockit R26.0.0 1.4.2_07 之前的版本 JRockit R26.0.0 1.5.0_04 之前的版本
2007-05-14	BEA07-173.00	通过 Java Web Start 启动的应用程序可能会提升其权限	公告	中	中	5.6（中）	JRockit R26.0.0 1.4.2_07 之前的版本 JRockit R26.0.0 1.5.0_04 之前的版本
2007-05-14	BEA07-172.00	处理 GIF 图像中的缓冲区溢出	公告	高	高	8.0（高）	JRockit R26.0.0 1.4.2_07 之前的版本 JRockit R26.0.0 1.5.0_04 之前的版本
2007-05-14	BEA07-171.00	不受信任的 Applet 可能会利用序列化条件提升权限	公告	高	高	8.0（高）	JRockit R26.0.0 1.4.2_07 之前的版本 JRockit R26.0.0 1.5.0_04 之前的版本
2007-05-14	BEA07-170.00	开发模式中文件名的公开	公告	低	中	3.3（低）	WLI 9.2 WLI 8.1 (SP2-SP6)
2007-05-14	BEA07-169.00	如果 RSA 的关键指数为 3，WebLogic SSL 可能错误地验证 RSA 签名	公告	高	中	5.6（中）	WLS 9.2 WLS 9.1 WLS 9.0 WLS 8.1 (-SP6) WLS 7.0 (-SP7)
2007-05-14	BEA07-168.00	SSL 端口可能容易受到拒绝服务攻击	公告	低	低	1.9（低）	WLS 9.2 WLS 9.1 WLS 9.0
2007-05-14	BEA07-167.00	权限的误损坏可能导致对受保护资源的未授权访问	公告	低	低	2.2（低）	WLP 9.2
2007-05-14	BEA07-166.00	WebLogic Portal Groupspace 应用程序中的跨站点脚本编写攻击	公告	低	中	3.4（低）	WLP 9.2
2007-05-14	BEA07-165.00	WebLogic JMS Message Bridge 未执行适当证书来访问受保护队列	公告	中	低	2.2（低）	WLS 8.1 (-SP6) WLS 7.0 (-SP7)
2007-05-14	BEA07-163.00	在创建新域时，由 configToScript 生成的 WLST 脚本可能不加密敏感属性。	公告	低	中	2.3（低）	WLS 9.1 WLS 9.0
2007-05-14	BEA07-162.00	WebLogic 控制台可能在明文中显示特定的 Web 服务敏感属性	公告	低	中	2.3（低）	WLS 9.0
2007-05-14	BEA07-161.00	WebLogic Server 嵌入式 LDAP 容易受到强行攻击	公告	中	高	5.6（中）	WLS 9.1 WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6)
2007-05-14	BEA07-160.00	安全策略可能不在 WebLogic JMS 服务器上执行	公告	中	中	5.6（中）	WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2007-05-14	BEA07-158.00	Tuxedo cnsbind cnsunbind 和 cnsls 命令可能在明文中回显敏感信息	公告	低	高	2.9（低）	Tuxedo 8.1 Tuxedo 8.0 WLE 5.1
2007-01-16	BEA07-157.00	授权检查可能不在 AquaLogic Service Bus 代理服务中执行	公告	中	中		ALSB 2.5 ALSB 2.1 ALSB 2.0
2007-01-16	BEA07-156.00	WebLogic Portal 权限策略的误损坏。	公告	低	高		WLP 9.2
2007-01-16	BEA07-155.00	使用 BEA JRockit 的产品中可能发生溢出情况	公告	高	高		WLPL 8.1 (-SP5) WLS 8.1 (-SP5) JRockit 1.4.2 R24.5
2007-01-16	BEA07-154.00	已提供升级和补丁来禁用 Active Directory LDAP 服务器中的用户。	公告	中	高		ALES 2.2 ALES 2.1 (-SP1) ALES 2.0 (-SP2)
2007-01-16	BEA07-153.00	审计事件可能以错误的严重性发布。	公告	低	中		ALES 2.2 ALES 2.1 (-SP1) ALES 2.0 (-SP2)
2007-01-16	BEA07-152.00	适用于 Netscape Enterprise Server 的 WebLogic Server 代理插件中的多个漏洞	公告	高	高		WLS Netscape Enterprise Server 代理插件
2007-01-16	BEA07-151.00	访问限制的误移除	公告	低	高		WLP 9.2
2007-01-16	BEA07-150.00	拒绝服务攻击可能针对 Solaris 9 上运行的 WebLogic Server	公告	高	高		WLS 9.2 WLS 9.1 WLS 9.0
2007-01-16	BEA07-149.00	受管理服务器可能看不到安全策略的更改。	公告	中	中		WLS 9.1
2007-01-16	BEA07-147.00	格式错误的 HTTP 请求可能泄露之前请求的数据	公告	高	低		WLS 9.1 WLS 9.0
2007-01-16	BEA07-146.00	Apache web 服务器代理插件中的拒绝服务漏洞。	公告	高	高		WLS Apache 插件
2007-01-16	BEA07-145.00	带有数组参数的 EJB 方法上的权限可能不执行	公告	中	低		WLS 9.1 WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6)
2007-01-16	BEA07-144.00	在使用 WebLogic Server 6.1 兼容区域时，有人可能会无意地以管理权限执行一些 EJB 调用	公告	中	高		WLS 9.1 WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP7)
2007-01-16	BEA07-143.00	WS-Security 运行时未能执行解密证书	公告	低	低		WLS 9.1 WLS 9.0
2007-01-16	BEA07-142.00	部署为 jar 分解文件的应用程序的动态更新可能导致错误的访问检查	公告	中	中		WLS 8.1 (-SP5)
2007-01-16	BEA07-141.00	在加载中处理错误页面时，Socket muxer 线程可能阻塞。	公告	低	高		WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2007-01-16	BEA07-140.00	离线配置后，敏感属性可能存储在明文中	公告	低	中		WLS 8.1 (-SP5)
2007-01-16	BEA07-139.00	应用程序文件在通过 .ear 或分解的 .ear 文件配置时是公开的。	公告	高	高		WLS 8.1 (-SP5) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2007-01-16	BEA07-138.00	WebLogic web 服务客户端上的证书验证问题	公告	高	低		WLS 9.1 WLS 9.0 WLS 8.1 (-SP5)
2007-01-16	BEA07-137.00	错误线程管理可能导致服务器不可用。	公告	高	高		WLS 9.1 WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6)
2007-01-16	BEA07-136.00	JDBCDataSourceFactory MBean 口令域未加密	公告	低	中		WLS 9.0 WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2007-01-16	BEA07-135.00	WebLogic Server 中的证书验证条件	公告	中	中		WLS 8.1 (-SP4)
2007-01-16	BEA07-134.00	SSL 库容易泄露未授权信息	公告	低	中		WLS 8.1 (-SP5) WLS 7.0 (-SP7) WLS 6.1 (-SP7)
2007-01-16	BEA07-125.01	内部网络信息在外部可见	公告	低	低		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2007-01-16	BEA07-107.02	允许过多的无效登录尝试。	公告	高	中		WLS 8.1 (-SP5) WLS 7.0 (-SP6)
2007-01-16	BEA07-75.01	被授予 Monitor 安全角色的用户拥有配置 JDBC 连接池的权限。	公告	低	中		WLS 8.1 (SP2-SP4)
2007-01-16	BEA07-60.01	已提供补丁来保护用户授权。	公告	低	中		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2006-05-15	BEA06-133.00	敏感的内部系统数据可能在线公开。	公告	中	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2006-05-15	BEA06-132.00	一些事务协调性上的错误服务质量	公告	中	低		WLS 8.1 (-SP3)
2006-05-15	BEA06-131.00	恢复管理员口令可能在磁盘上留下明文口令	公告	低	高		WLS 8.1
2006-05-15	BEA06-130.00	JSP showcode 漏洞	公告	低	低		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2006-05-15	BEA06-129.00	控制台显示 WebLogic Server IP 地址	公告	中	低		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-05-15	BEA06-128.00	域名称公开于控制台登录表单上	公告	低	低		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2006-05-15	BEA06-127.00	WebLogic Server HTTP 处理程序用户名和口令登录失败	公告	低	低		WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-05-15	BEA06-126.00	控制台错误设置 JDBC 策略	公告	低	低		WLS 9.0
2006-05-15	BEA06-125.00	内部网络信息在外部可见	公告	低	低		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-05-15	BEA06-124.00	安装在 WebLogic Server 上的应用程序可以获取私钥	公告	低	低		WLS 9.1 WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-05-15	BEA06-121.00	`stopWebLogic.sh` 脚本在 UNIX 上回显系统口令	公告	低	高		WLPL 8.1 (-SP2) WLPL 7.0 (-SP5)
2006-05-15	BEA06-120.01	默认内部 servlet 允许本地文件系统访问	公告	高	高		WLS 6.1 (-SP7)
2006-05-15	BEA06-114.01	安装在服务器上的应用程序代码可能会解密口令	公告	低	高		WLS 9.0 WLS 8.1 (-SP4)
2006-05-15	BEA06-81.02	允许对嵌入式 LDAP 服务器进行匿名绑定。	公告	高	高		WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6)
2006-03-20	BEA06-123.00	某些 XML 文档可能引起“服务器内存不足”错误。	公告	高	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-03-20	BEA06-122.00	JSR-168 Portlet 可能向未授权用户呈现	公告	高	中		WLP 8.1 (-SP5)
2006-03-20	BEA06-111.01	服务器日志可能远程可见。	公告	高	低		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-03-20	BEA06-105.01	某些 HTTP 请求可能用于在服务器上启动 HTTP 请求走私攻击。	公告	中	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-01-23	BEA06-119.00	控制台应用错误的 JNDI 策略。	公告	中	中		WLS 9.0
2006-01-23	BEA06-118.00	服务器的 SSL 身份未得到适当保护，可通过应用程序利用。	公告	低	中		WLS 8.1 SP5
2006-01-23	BEA06-117.00	使用连接过滤器可能导致服务器减速	公告	中	高		WLS 9.0 WLS 8.1 (-SP5) WLS 7.0 (-SP6)
2006-01-23	BEA06-116.00	非活动安全供应程序显示为活动状态。	公告	低	低		WLS 9.0
2006-01-23	BEA06-115.00	已提供补丁来执行仅针对特定资源的访问。	公告	高	高		WLP 8.1 SP3、SP4、SP5
2006-01-23	BEA06-113.00	已更改口令可能在审计日志中显示	公告	中	高		WLS 8.1 (-SP4)
2006-01-23	BEA06-112.00	应用程序的部署描述符源可见。	公告	高	中		WLP 8.1 (-SP4)
2006-01-23	BEA06-109.00	多个 MBean 漏洞。	公告	高	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2006-01-23	BEA06-108.00	已发布文档，介绍如何保护通过 WebLogic Server 管理控制台的一个实例管理的多个域。	公告	低	高		WLS 7.0 WLS 6.1
2006-01-23	BEA06-106.01	servlet 执行相关转发的请求可能导致拒绝服务 (DOS) 攻击。	公告	高	中		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2005-10-10	BEA05-85.00	未指定用户的客户端/服务器的通信未受到 SSL 协议的正确保护。	公告	中	高		WLS 8.1 (-SP3) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2005-10-10	BEA05-86.00	在特定情况下，客户端/服务器的通信未正常使用 SSL 连接	公告	中	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2005-10-10	BEA05-88.00	已部署的应用程序可能将权限由 Deployer 更改为 Admin。	公告	低	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2005-10-10	BEA05-89.00	审计事件可能以错误的严重性发布。	公告	低	中		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2005-10-10	BEA05-90.00	已提供补丁来防止用户在防火墙后访问设备信息。	公告	中	低		WLS 8.1 (-SP3)
2005-10-10	BEA05-91.00	Trust 密钥存储器的口令短语出现在 nodemanager.config 文件的明文中。	公告	低	中		WLS 8.1 (-SP3)
2005-10-10	BEA05-92.00	从 Principal 类衍生出来的主体可能未得到完全验证。	公告	低	高		WLS 8.1 (-SP4) WLS 7.0 (-SP5)
2005-10-10	BEA05-93.00	Servlet 安全性约束未能正确保护 root	公告	高	中		WLS 8.1 (-SP3) WLS 7.0 (-SP5)
2005-10-10	BEA05-94.00	本地文件系统可能受到授予 Admin 安全角色的用户的远程访问。	公告	中	中		WLS 8.1 (-SP3)
2005-10-10	BEA05-95.00	从一个操作系统中导出安全策略并向另一个操作系统中导入可能导致 servlet 失去保护。	公告	低	中		WLS 8.1 WLS 7.0
2005-10-10	BEA05-96.00	在使用配置向导创建 WebLogic Server 域时，在 SSL 配置中使用的私钥的口令短语在明文中出现。	公告	低	中		WLS 8.1 (-SP3)
2005-10-10	BEA05-97.00	在管理控制台中使用 fullyDelegateAuthorization 模式时，Servlet 资源可能未受到完全保护。	公告	低	中		WLS 8.1 (-SP3) WLS 7.0 (-SP5)
2005-10-10	BEA05-98.00	敏感系统属性值在服务器日志中显示。	公告	低	高		WLS 8.1 (-SP4) WLS 7.0 (-SP5) WLS 6.1 (-SP7)
2005-10-10	BEA05-99.00	用于引导服务器的口令可能出现在 Windows 注册表的明文中。	公告	低	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2005-10-10	BEA05-100.00	口令可能公开在一些由 IIOP 协议构建的主题中	公告	低	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6) WLS 6.1 (-SP7)
2005-10-10	BEA05-101.00	已更新文档，建议了多个管理员帐户。	公告	高	中		WLS 9.0 WLS 8.1 WLS 7.0
2005-10-10	BEA05-102.00	在特定环境中，weblogic.Deployer 与管理服务器的通信可能受到威胁。	公告	中	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2005-10-10	BEA05-103.00	多播数据未加密。	公告	中	中		WLS 8.1 (-SP4) WLS 7.0 (-SP5)
2005-10-10	BEA05-104.00	MBean 配置更改的审计可能停止。	公告	低	中		WLS 8.1 (-SP4)
2005-08-22	BEA05-84.00	已提供补丁来执行正确的访问限制。	公告	高	高		WLP 8.1 (-SP4)
2005-08-15	BEA05-61.01	已提供补丁来防止拒绝服务攻击。	公告	高	高		WLS 8.1 (-SP2)、SP4
2005-08-15	BEA05-83.00	JCE 1.2.1 证书将在 7/27/2005 到期	通知				WLS 7.0、WLPL 7.0
2005-05-24	BEA05-52.02	已提供补丁来防止非计划系统管理员权限。	公告	非常低	中		WLS 8.1 (-SP2) WLS 7.0 (-SP4)
2005-05-24	BEA05-72.01	已提供升级和补丁来禁用 Active Directory LDAP 服务器中的用户。	公告	中	高		WLS 8.1 (-SP2) WLS 7.0 (-SP5)
2005-05-24	BEA05-74.01	登录异常可能提供登录尝试失败的线索。	公告	高	高		WLS 8.1 (-SP4) WLS 7.0 (-SP6)
2005-05-24	BEA05-75.00	已提供补丁来限制授予 Monitor 安全角色的用户访问 JDBC 连接池。	公告	低	中		WLS 8.1 SP2、SP3
2005-05-24	BEA05-76.00	WebLogic Server 未能审计并正确处理由安全供应程序生成的异常。	公告	中	高		WLS 8.1 (-SP3) WLS 7.0 (-SP5)
2005-05-24	BEA05-77.00	重新部署 Web 应用程序时，用户未能注销。	公告	低	中		WLS 7.0 (-SP5)
2005-05-24	BEA05-78.00	登录尝试失败的错误口令回显为标准输出	公告	低	中		WLP 8.1 (-SP3)
2005-05-24	BEA05-79.00	错误的 cookie 数据可能影响集群性能	公告	高	高		WLS 7.0 (-SP5)
2005-05-24	BEA05-82.00	拒绝服务攻击	公告	高	高		WLS 6.1 SP4
2005-03-28	BEA05-51.01	已提供补丁来保护口令。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP5) WLS 6.1 (-SP6)
2004-09-13	BEA04-70.00	已提供补丁来保护服务器版本信息。	公告	低	低		WLS 8.1 (-SP3) WLS 7.0 (-SP5) WLS 6.1 (-SP6)
2004-09-13	BEA04-67.00	已提供升级和补丁来防止 showcode 漏洞。	公告	低	低		WLS 8.1 (-SP2) WLS 7.0 (-SP5) WLS 6.1 (-SP6)
2004-09-13	BEA04-65.00	已提供补丁来防止未授权访问。	公告	中	高		WLS 8.1 (-SP2) WLS 7.0 (-SP5) WLS 6.1 (-SP6)
2004-09-13	BEA04-71.00	已提供升级和补丁来确保完整的安全角色和策略部署。	公告	低	中		WLS 8.1 (-SP2) WLS 7.0 (-SP5)
2004-09-13	BEA04-73.00	已提供相关文档来配置用于管理数据加密的服务器。	公告	低	高		WLS 8.1（全部） WLS 7.0（全部）
2004-09-13	BEA04-68.00	已提供补丁来协助保护使用 WebLogic Server 命令行实用程序和 ant 管理任务的脚本中的口令。	通知				WLS 8.1 (-SP2) WLS 7.0 (-SP4) WLS 6.1 (-SP6)
2004-09-13	BEA04-66.00	已提供补丁来防止对 Administrator 命令的未授权访问。	公告	中	中		WLS 8.1 (-SP2) WLS 7.0 (-SP5)
2004-09-13	BEA04-69.00	已提供升级和补丁来保护口令。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP5) WLS 6.1 (-SP6)
2004-06-28	BEA04_64.00	已提供补丁来保护 Web 应用程序。	公告	低	低		WLS 8.1 (-SP2) WLS 7.0 (-SP5)
2004-06-28	BEA04_63.00	已提供补丁来防止任意文件访问和可能出现的磁盘空间耗尽。	公告	高	高		WLPL 8.1 (-SP2)
2004-06-14	BEA04_62.00	已提供补救办法来防止非预期用户身份。	公告	低	低		WLS 8.1（全部） WLS 7.0（全部） WLS 6.1（全部）
2004-05-11	BEA04_60.00	已提供补丁来保护用户授权。	公告	低	中		WLS 8.1 (-SP2) WLS 7.0 (-SP5)
2004-05-11	BEA04_59.00	已提供补丁来防止对 web 应用程序的非计划访问。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP5)
2004-04-20	BEA04_56.00	已提供升级来更正 servlet 安全错误。	公告	低	高		WLS 8.1 (-SP1) WLS 7.0 (-SP4)
2004-04-20	BEA04_58.00	已提供补丁来保护口令。	公告	低	高		WLS 8.1 (-SP2)
2004-04-20	BEA04_57.00	已提供升级和补丁来防止 EJB 对象未经所需授权即被删除。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP4) WLS 6.1 (-SP6)
2004-04-13	BEA04_53.00	已提供补丁来防止口令公开。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP4) WLS 6.1 (-SP6)
2004-04-13	BEA04_54.00	已提供补丁来防止用户假冒。	公告	中	高		WLS 8.1 (-SP2) WLS 7.0 (-SP4)
2004-04-13	BEA04_55.00	已提供补丁来防止口令公开。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP4)
2004-03-10	BEA04_43.01	已提供解决办法来防止 MBean 公开。	公告	低	低		WLS 8.1（全部） WLS 7.0 WLS 6.1（全部）
2004-02-19	BEA04_48.01	已提供补丁来防止用户帐户受到威胁。	公告	低	高		WLS 8.1 (-SP2) WLS 7.0 (-SP4) WLS 6.1 (-SP6) WLS 5.1 (-SP13)
2004-01-26	BEA04_49.00	已提供升级来保护 Administrative 权限。	公告	低	高		WLS 8.1 (-SP1)
2004-01-26	BEA04_47.00	已提供补丁和升级防止 SSL 证书重用。	公告	低	中		WLS 7.0 (-SP4)
2004-01-26	BEA04_50.00	已提供升级来保护口令。	公告	低	高		WLS 8.1 (-SP1)
2004-01-12	BEA04-45.00	建议升级以防止拒绝服务。	公告	高	高		WLS 7.0 (-SP4) WLS 6.1 (-SP5) WLS 5.1 (-SP13)
2004-01-12	BEA04-46.00	已提供升级来保护口令。	公告	低	高		WLS 8.1 (-SP1)
2003-12-30	BEA03-44.00	CA 证书到期	通知				WLS
2003-11-11	BEA03-39.00	已提供补救办法来防止拒绝服务。	公告	高	高		WLS 8.1 (-SP1) WLS 7.0 (-SP4) WLS 6.1 (-SP5)
2003-11-11	BEA03-40.00	已提供补丁来防止非加密连接的非计划使用。	公告	低	低		WLS 8.1 (-SP1) WLS 7.0 (-SP4)
2003-11-11	BEA03-42.00	已提供补丁来保护节点管理器。	公告	低	低		WLS 8.1 (-SP1) WLS 7.0 (-SP4) WLS 6.1 (-SP5)
2003-11-11	BEA03-41.00	已提供补丁来保护口令。	公告	低	低		WLS 8.1 (-SP1)
2003-11-11	BEA03-43.00	已提供解决办法来防止 Mbean 公开。	公告	低	低		WLS 8.1 (-SP1) WLS 7.0 (-SP4) WLS 6.1 (-SP5)
2003-10-29	BEA03-38.00	已提供补丁来防止 BEA Tuxedo 管理控制台漏洞。	公告	低	中		Tuxedo 8.1 Tuxedo 8.0 Tuxedo 7.1 Tuxedo 6.5 Tuxedo 6.4 Tuxedo 6.3 WebLogic Enterprise 5.1 WebLogic Enterprise 5.0.1 WebLogic Enterprise 4.2
2003-08-27	BEA03-37.00	已提供补丁来防止通过 Web 浏览器对计算机文件系统进行非计划访问。	公告	中	高		WLI-BC 8.1
2003-08-20	BEA03-14.06	已提供补丁来防止 DOS 攻击。	公告	低	高		WLS 7.0 (-SP1) WLS 6.1 (-SP3) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP12)
2003-08-20	BEA03-36.01	已提供补丁来防止多个跨站点脚本编写 (XSS) 漏洞。	公告	低	高		WLI 7.0 (-SP2) WLI 2.1 LD 1.1 WLS 7.0 (-SP3) WLS 6.1 (-SP5) WLS 5.1
2003-07-30	BEA03-35.00	已提供补丁来保护当前用户身份。	公告	中	高		WLS 7.0 SP3
2003-07-08	BEA03-33.00	已提供补丁来防止操作人员获取管理访问权限。	公告	低	高		WLS 8.1 WLS 7.0 (-SP2)
2003-07-08	BEA03-34.00	已提供补丁来保护口令。	公告	低	低		WLS 7.0 (-SP2) WLS 6.1 (-SP5)
2003-07-08	BEA03-32.00	已提供补丁来防止对控制台进行未授权访问。	公告	低	低		WLS 7.0 (-SP2)
2003-07-08	BEA03-28.01	已提供补丁来防止无权限帐户访问应用程序资源。	公告	中	高		WLS 8.1 WLS 7.0 (-SP2) WLS 6.1 (-SP4) WLS 6.0 (-SP2RP3)
2003-05-12	BEA03-30.00	已提供补丁来防止明文口令。	公告	低	中		WLS 7.0 (-SP2)
2003-05-12	BEA03-31.00	已提供补丁来防止无效 SSL 证书链漏洞。	公告	中	高		WLS 7.0 (-SP1) WLS 6.1 (-SP4) WLS 5.1 (-SP13) WLE 5.1 WLE 5.0.1 Tuxedo 8.1 Tuxedo 8.0
2003-03-17	BEA03-29.00	已提供补救办法来防止删除子上下文。	公告	低	低		WLS 7.0(-SP1)
2003-03-17	BEA03-27.00	已提供补救办法来防止未经重新身份验证对 web 应用程序进行访问。	公告	低	低		WLS 7.0 (-SP2)
2003-03-17	BEA03-26.01	已提供补丁来防止会话共享。	公告	低	高		WLS 7.0 (-SP2) WLS 6.1 (-SP4) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP13)
2003-01-28	BEA03-25.00	已提供补丁来保护口令。	公告	低	高		WLS 7.0 (-SP1)
2003-01-10	BEA03-24.00	已提供补丁来保护口令。	公告	低	低		WLS 7.0 (-SP1)
2002-12-13	BEA02-23.01	已提供补丁来防止通过 XML 分析进行 DOS 攻击。	公告	低	低		WLI 7.0 (-SP1) WLI 2.1 WLS 7.0 (-SP1) WLS 6.1 (-SP4) WLS 6.0 (-SP2RP3)
2002-10-15	BEA02-22.00	已提供补丁来防止策略角色和映射在 WebLogic Integration 7.0 或 WebLogic Server 7.0 Service Pack 1 中被忽略。	公告	高	高		WLS 7.0 (-SP1)
2002-10-01	BEA02-21.00	已提供升级来防止从 Servlet 或 EJB 中误移除安全机制。	公告	低	高		WLS 7.0
2002-09-27	BEA02-20.00	升级以防止数据共享。	公告	低	中		WLS 7.0 WLS 6.1 (-SP2)
2002-07-03	BEA02-19.00	已提供补丁来防止 DOS 攻击。	公告				WLS 7.0 WLS 6.1 (-SP3) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP12)
2002-05-10	BEA02-18.00	已提供补丁来防止使用 SNMP Agent 时口令公开	公告		低		WLS 5.1 (-SP12)
2002-05-09	BEA02-17.00	已提供补丁来防止对文件内容进行查看。	公告				WLS 6.1 -SP2) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP12) WLS 4.5.2 (-SP2) WLS 4.5.1 (-SP15)
2002-04-22	BEA02-03.03	已提供针对 Show Code 漏洞的补丁。	公告				WLS 6.1 (-SP2) WLS 6.0 (-SP2RP3) WLS 5.1 (-SP11) WLS 4.5.2 (-SP2) WLS 4.5.1 (-SP14)
2002-04-22	BEA02-16.01	已提供针对 SNMP 实施漏洞的补丁。	公告				WLS 6.1 (-SP2) WLS 5.1 (-SP11)
2002-01-31	BEA02-15.00	已提供补丁来保护口令。	公告		低		WLS 6.1 (-SP2)
2002-01-10	BEA02-13.00	已提供针对非计划权限的补丁。	公告				WLS 6.1 (-SP1) WLS 6.0 (-SP2) WLS 5.1 (-SP10) WLS 4.5.2 (-SP2) WLS 4.5.1 (-SP15)
2001-11-09	BEA01-12.01	在适用于 BEA WebLogic Server 和 BEA WebLogic Server Express 的 CSR Generator Servlet 文档中进行了说明。	公告				WLS 6.1（全部） WLS 5.1（全部） WLS 4.5.2（全部） WLS 4.5.1（全部）
2001-06-22	BEA01-11.00	已提供针对管理配置漏洞的修复程序。	公告				WLS 6.0 (-SP1)
2001-05-09	BEA01-10.00	已提供针对 BEA Tuxedo 中的 TDomain 网关漏洞的补丁。	公告	中			Tuxedo 6.3 Tuxedo 6.4 Tuxedo 6.5 Tuxedo 6.5.1 Tuxedo 7.1 Tuxedo 7.1.1 WLE 4.2 WLE 5.0 WLE 5.1
2001-03-27	BEA00-09.00	已提供针对目录索引默认设置的补丁。	公告	低			WLS 6.0
2001-03-19	BEA00-08.00	已提供针对 BEA Tuxedo 中的访问控制漏洞的补丁。	公告	中			Tuxedo 7.1
2000-08-14	BEA00-05.01	针对 WLS 代理插件中缓冲区溢出的补丁	公告	低			WLS 5.1 (-SP4) WLS 4.5.2 WLS 4.5.1 (-SP10)
2000-07-31	BEA00-04.00	Web 文档根目录中任意文件的编译和执行	公告				WLS 5.1（全部）
2000-06-12	BEA00-01.00	默认 httpd.servlet 配置中的漏洞（仅 Windows 和 NT）	公告				WLS 4.5.1（全部） WLS 4.0.4（全部） WLS 3.1.8（全部）
2000-06-12	BEA00-02.00	默认文件 Servlet 配置中的漏洞	公告				WLS 5.1（全部） WLS 4.5.2（全部） WLS 4.5.1（全部） WLS 4.0.4（全部） WLS 3.1.8（全部）

* 威胁：可能从其启动攻击的位置：“高”表示可被远程利用的漏洞；“低”威胁表示要求对产品进行本地访问的漏洞。

** 严重性：潜在影响的程度：“高”表示产品的完整性/可用性/机密性可能受到严重威胁，“低”表示对产品的完整性/可用性/机密性的影响相对较小。

*** CVSS 评分：常见漏洞评估系统 (CVSS) 是一个用来为评估 IT 漏洞提供开放和标准化方法的漏洞评估系统。

**** 在本列中，WLPL 表示 WebLogic Platform，WLS 表示 WebLogic Server/Express，WLI 表示 WebLogic Integration，WLE 表示 WebLogic Enterprise，LD 表示 Liquid Data。

如果在特定 Service Pack 中存在某个漏洞，会对其进行指明：例如，WLS 6.1 (-SP2) 表示漏洞在 WebLogic Server/Express 6.1 的最初版本中存在，还存在于 Service Pack 1 和 2 中。WLS 6.1 表示漏洞仅在 WebLogic Server/Express 中存在。WLS 6.1（全部）表示漏洞在 WebLogic Server/Express 6.1 的所有版本中都存在。

了解更多

·	重要补丁更新和安全警报

寄送此页面

打印机视图