Open Source im professionellen Einsatz

DFN-CERT-2017-1426 Red Hat JBoss Fuse, Red Hat JBoss A-MQ: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

11.08.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat JBoss A-MQ < 6.3
Red Hat JBoss Fuse < 6.3


Betroffene Plattformen:

Red Hat JBoss A-MQ
Red Hat JBoss Fuse



Mehrere Schwachstellen in verschiedenen Komponenten von Red Hat JBoss Fuse
und Red Hat JBoss A-MQ ermöglichen einem entfernten, nicht authentisierten
Angreifer die Ausführung beliebigen Programmcodes, die Darstellung falscher
und das Ausspähen von Informationen, das Umgehen von
Sicherheitsvorkehrungen, das Erlangen von Benutzerrechten sowie einen
Server-Side-Request-Forgery- und einen Denial-of-Service-Angriff.

Red Hat stellt Red Hat JBoss Fuse 6.3 und Red Hat JBoss A-MQ 6.3 als
Sicherheitsupdate bereit mit dem auch einige Bugs behoben und Erweiterungen
umgesetzt werden.


Patch:

Red Hat Security Advisory RHSA-2017:1832

<https://access.redhat.com/errata/RHSA-2017:1832>


CVE-2017-5929: Schwachstelle in Logback ermöglicht Ausführung beliebigen
Programmcodes

In Logback vor Version 1.2.0 besteht eine Schwachstelle im Kontext der
SocketServer- und ServerSocketReceiver-Komponente. Ein entfernter, nicht
authentisierter Angreifer kann ein Serialisierungsproblem ausnutzen, um
beliebigen Programmcode zur Ausführung zu bringen.


CVE-2017-5656: Schwachstelle in Apache CXF ermöglicht Erlangen von
Benutzerrechten

STSClient von Apache CXF vor Version 3.1.11 und 3.0.13 verwenden den
Zwischenspeicher für Token, die mit Delegationstoken assoziiert werden,
fehlerhaft. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle ausnutzen, indem er ein Token erstellt, durch dessen
Verwendung als Rückgabewert das zwischengespeicherte Token eines anderen
Benutzers bereitgestellt wird, und dadurch diesen Benutzer imitieren.


CVE-2017-5653: Schwachstelle in Apache CXF ermöglicht Darstellung falscher
Informationen

Die JAX-RS XML Security Streaming-Clients in Apache CXF vor Version 3.1.11
und 3.0.13 prüfen nicht, ob die Antwort des Dienstes signiert oder
verschlüsselt ist. Ein entfernter, nicht authentisierter Angreifer in einer
privilegierten Position im Netzwerk (Man-in-the-Middle) kann dadurch falsche
Informationen darstellen.


CVE-2017-5643: Schwachstelle in Apache Camel ermöglicht
Server-Side-Request-Forgery-Angriff

Die Validierungskomponente von Apache Camel wertet Document Type Definition
(DTD)-Kopfdaten von XML-Datenströmen aus, obwohl die Validierung gegen
XML-Schemen (XSD) durchgeführt wird. Ein entfernter, nicht authentisierter
Angreifer kann das für einen Server-Side-Request-Forgery-Angriff ausnutzen,
indem er XML-Dokumente mit DTD-URLs oder XML eXternal Entities (XXE)
versendet.


CVE-2017-2594: Schwachstelle in hawt.io ermöglicht Ausspähen von
Informationen

Aufgrund einer unsicheren Pfadtraversierung liefert hawt.io Fehlermeldungen
im Zusammenhang mit einer 'NullPointerException' mit einer vollständigen
Stacktrace aus. Ein entfernter, nicht authentisierter Angreifer kann dadurch
sensitive Informationen über die Systemarchitektur ausspähen.


CVE-2017-2589: Schwachstelle in hawt.io ermöglicht Ausspähen von
Informationen

Das Servlet der Webkonsole hawt.io, mit der JVMs verwaltet werden können,
verwendet eine einzelne HttpClient-Instanz mit persistentem Cookie-Speicher
zur Verarbeitung von Proxy-Anfragen. Ein entfernter, nicht authentisierter
Angreifer kann dadurch Verbindungsinformationen anderer Verbindungen und
möglicherweise weitere Informationen ausspähen.


CVE-2016-8749: Schwachstelle in Apache Camel ermöglicht Ausführung
beliebigen Programmcodes

In den 'unmarshalling'-Operationen in Jackson und JacksonXML (Apache Camel)
existiert eine nicht näher beschriebene Schwachstelle, die von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden kann, um
beliebigen Programmcode auszuführen.


CVE-2017-7957: Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

In XStream existiert eine Schwachstelle, durch die es bei der Bearbeitung
von Instanzen des primitiven Typs 'Void' (nicht spezifizierten Datentypen)
zu einem Denial-of-Service (DoS)-Zustand kommen kann. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service-Angriff gegen XStream durchzuführen.


CVE-2017-3156: Schwachstelle in Apache CXF ermöglicht Ausspähen von
Informationen

Der Programmcode zur OAuth2 Hawk und JOSE MAC Validierung in Apache CXF
verwendet zum Vergleich von MAC-Signaturen einen Algorithmus, der keine
konstante Zeit benötigt, wodurch Timing-Angriffe möglich sind. Dieses
betrifft möglicherweise nur OAuth2 Hawk oder JWT Access Token oder JOSE
JWS/JWE Interceptors, welche auf HMac Secret-Key-Algorithmen beruhen. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um durch Timing-Angriffe sensitive Informationen wie geheime
Schlüssel auszuspähen, wodurch weitere Angriffe möglich werden.


CVE-2016-9879: Schwachstelle in Spring Security ermöglicht Umgehen von
Sicherheitsvorkehrungen

Spring Security berücksichtigt bei der Verarbeitung von
Sicherheitsbeschränkungen (Security Constraints) nicht eventuell verwendete
URL-Pfadparameter. Die Ursache hierfür ist eine Unklarheit bezüglich der
Behandlung von Pfadparametern in der Servlet-Spezifikation. Einige
Servlet-Container inkludieren Pfadparameter in den Rückgabewert der Funktion
'getPathInfo()', während andere dies nicht tun. Spring Security verwendet
den von 'getPathInfo()' zurückgegebenen Wert als Teil des Prozesses für das
Mapping von Anfragen für Sicherheitsbeschränkungen. Durch das unerwartete
Vorhandensein eines Pfadparameters können Sicherheitsbeschränkungen umgangen
werden.


CVE-2015-6644: Schwachstelle in Bouncy Castle ermöglicht Ausspähen von
Informationen

Es existiert eine Schwachstelle in Bouncy Castle, wie unter anderem
verwendet in Google Android 4.4.4, 5.0 und 5.1.1 vor Version LMY48Z sowie
6.0 und 6.0.1 vor Version 2016-01-01. Diese ermöglicht es einer bösartigen,
lokal installierten Applikation private Informationen des Benutzer
auszuspähen. Ein entfernter, nicht authentifizierter Angreifer, der in der
Lage ist einen Benutzer zur Installation einer manipulierten Anwendung zu
verleiten, kann die Schwachstelle ausnutzen, um Informationen auszuspähen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1426/>

Schwachstelle CVE-2015-6644 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6644>

Schwachstelle CVE-2016-9879 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9879>

Schwachstelle CVE-2016-8749 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8749>

Schwachstelle CVE-2017-3156 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3156>

Schwachstelle CVE-2017-5929 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5929>

Schwachstelle CVE-2017-5643 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5643>

Schwachstelle CVE-2017-5653 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5653>

Schwachstelle CVE-2017-5656 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5656>

Schwachstelle CVE-2017-7957 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7957>

Schwachstelle CVE-2017-2589 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2589>

Red Hat Security Advisory RHSA-2017:1832:
<https://access.redhat.com/errata/RHSA-2017:1832>

Schwachstelle CVE-2017-2594 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2594>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.