UPDATE: DFN-CERT-2014-1012 RESTEasy: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2014-1012 RESTEasy: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (15.12.2014):
Für die Distribution Fedora 20 steht ein Sicherheitsupdate im Status
‘testing’ bereit.
Version 2 (12.08.2014):
Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates für die
Red Hat JBoss Enterprise Application Platform 6.3.0 zur Verfügung.
Version 1 (06.08.2014):
Neues Advisory

Betroffene Software:

RESTEasy

Betroffene Plattformen:

RedHat JBoss Enterprise Application Platform 6.3.0
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 20

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen.

Patch:

Red Hat Security Advisory RHSA-2014:1011

http://rhn.redhat.com/errata/RHSA-2014-1011.html

Patch:

Red Hat Security Advisory RHSA-2014:1039

http://rhn.redhat.com/errata/RHSA-2014-1039.html

Patch:

Red Hat Security Advisory RHSA-2014:1040

http://rhn.redhat.com/errata/RHSA-2014-1040.html

Patch:

Fedora Security Update FEDORA-2014-16845

https://admin.fedoraproject.org/updates/FEDORA-2014-16845/resteasy-3.0.6-3.fc20

CVE-2014-3490: Schwachstelle in RESTEasy ermöglicht das Ausspähen von
Informationen

Durch die unvollständige Behebung der Schwachstelle CVE-2012-0818 werden
externe Parametereinträge nicht deaktiviert, wenn der
“resteasy.document.expand.entity.references” Parameter auf “false” gesetzt
ist. Ein entfernter, nicht authentifizierter Angreifer kann, durch das
Senden von XML-Anfragen zu einem RESTEasy-Endpunkt, Dateien, die dem
Benutzer des Anwendungsservers zugänglich sind, lesen oder möglicherweise
fortgeschrittene XML External Entities (XXE)-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1012/

Red Hat Security Advisory RHSA-2014:1011:
http://rhn.redhat.com/errata/RHSA-2014-1011.html

Schwachstelle CVE-2014-3490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3490

Red Hat Security Advisory RHSA-2014:1039:
http://rhn.redhat.com/errata/RHSA-2014-1039.html

Red Hat Security Advisory RHSA-2014:1040:
http://rhn.redhat.com/errata/RHSA-2014-1040.html

Fedora Security Update FEDORA-2014-16845:
https://admin.fedoraproject.org/updates/FEDORA-2014-16845/resteasy-3.0.6-3.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben