DFN-CERT-2015-0157 Red Hat JBoss Fuse/A-MQ, Fuse ESB Enterprise/Fuse MQ Enterprise: Zwei Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten [Linux][RedHat]

DFN-CERT-2015-0157 Red Hat JBoss Fuse/A-MQ, Fuse ESB Enterprise/Fuse MQ Enterprise: Zwei Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss Fuse 6.1.0
RedHat Fuse ESB Enterprise 7.1.0

Betroffene Plattformen:

RedHat JBoss Fuse
RedHat Fuse ESB Enterprise

Zwei Schwachstellen in Red Hat JBoss Fuse / Fuse ESB Enterprise ermöglichen
einem entfernten, nicht authentifizierten Angreifer Informationen
auszuspähen oder Administrationsrechte zu erlangen. Red Hat stellt Patches
auf Red Hat JBoss Fuse and A-MQ Version 6.1.0 Patch 3 Rollup Patch 1 und
Fuse ESB Enterprise/MQ Enterprise 7.1.0 R1 P8 zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2015:0137

http://rhn.redhat.com/errata/RHSA-2015-0137.html

Patch:

Red Hat Security Advisory RHSA-2015:0138

http://rhn.redhat.com/errata/RHSA-2015-0138.html

CVE-2014-3612: Schwachstelle im LDAPLoginModule ermöglicht das Erlangen von
Administrationsrechten

Eine Schwachstelle in der Implementierung des LDAPLoginModule im “ActiveMQ
Java Authentication and Authorization Service” (JAAS) führt dazu, dass ein
Login mit gültigem Benutzernamen und leerem Passwort-Feld erfolgreich ist.
Ein entfernter, nicht authentifizierter Angreifer kann Administrationsrechte
erlangen.

CVE-2014-3600: Schwachstelle in ActiveMQ ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in Apache ActiveMQ führt dazu, dass bei der Auswertung
von XPath-Ausdrücken externe XML Referenzen (XML External Entity (XXE)
aufgelöst werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch präparierte XXE-Referenzen beliebige Dateien lesen, auf die der
Besitzer des ‘Apache ActiveMQ broker’ Zugriff hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0157/

Red Hat Security Advisory RHSA-2015:0137:
http://rhn.redhat.com/errata/RHSA-2015-0137.html

Red Hat Security Advisory RHSA-2015:0138:
http://rhn.redhat.com/errata/RHSA-2015-0138.html

Schwachstelle CVE-2014-3600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3600

Schwachstelle CVE-2014-3612 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3612

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben