Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
RedHat JBoss Fuse Service Works 6.0.0
RedHat JBoss Fuse Service Works < 6.0.0 patch 4
Betroffene Plattformen:
RedHat JBoss Fuse Service Works
Mehrere Schwachstellen in JBoss Fuse Service Works ermöglichen einem
lokalen, nicht authentifizierten Angreifer beliebigen Programmcode
auszuführen und einem entfernten zumeist nicht authentifizierten Angreifer
Sicherheitsmaßnahmen zu umgehen, Informationen auszuspähen,
Denial-of-Service-Angriffe durchzuführen oder beliebigen Programmcode
auszuführen. Der Hersteller Red Hat bietet einen Rollup Patch 4 für die
Version 6.0.0 an.
Patch:
Red Hat Security Advisory RHSA-2015:0720
http://rhn.redhat.com/errata/RHSA-2015-0720.html
CVE-2014-3578: Schwachstelle in Spring Framework ermöglicht das Ausspähen
von Informationen
Eine Schwachstelle im Spring Framework ermöglicht durch eine
Verzeichnis-Traversierung beliebige Dateien auszulesen. Ein entfernter,
nicht authentifizierter Angreifer kann durch die Verwendung einer
präparierten URL den Inhalt beliebiger Dateien auslesen.
CVE-2014-0005: Schwachstelle in PicketBox/JBossSX ermöglicht das Ausführen
beliebigen Programmcodes
Eine Schwachstelle PicketBox/JBossSX ermöglicht jeder installierten
Anwendung die Konfiguration des unterliegenden Anwendungsserver lesen und
ändern ohne das eine Autorisierung notwendig ist. Eine präparierte
Anwendung kann Sicherungsmaßnahmen umgehen, Informationen auslesen oder
beliebigen Programmcode ausführen. Ein lokaler, nicht authentifizierter
Angreifer kann beliebigen Programmcode ausführen.
CVE-2014-3625: Directory-Traversal-Schwachstelle in Spring Framework
ermöglicht Ausspähen von Informationen
Eine nicht näher spezifizierte Schwachstelle ermöglicht nicht autorisierten
Zugriff auf Verzeichnisse. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um beliebige Dateien zu lesen und so
Informationen auszuspähen.
CVE-2014-0227: Schwachstelle in Chunked Transfer Encoding ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in dem ‘Chunked Transfer Encoding’ von Tomcat führt dazu,
dass bei der Verarbeitung einer präparierten Chunk-Anfrage Teile des
Anfrage-Hauptteil als eine neue Anfrage aufgefasst werden. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2014-3558: Schwachstelle in JBoss EAP erlaubt Ausführen beliebigen
Programmcodes
Eine Schwachstelle wurde in der Implementierung von
“org.hibernate.validator.util.ReflectionHelper” festgestellt. Zusammen mit
der Berechtigung, den “Hibernate Validator” unterhalb des “Java Security
Managers” ausführen zu können, ermöglicht dies einer schädlichen
Applikation, welche sich in demselben Container befindet, etliche Aktionen
mit höheren Privilegien auszuführen, welches sonst durch den Java Security
Manager abgesichert wäre. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, indem er eine schädliche Applikation
einschleust, um Angriffe verschiedenster Art auszuführen, zu denen auch das
Ausführen beliebigen Programmcodes gehört.
CVE-2014-3577: Schwachstelle in Apache Commons HTTPClient
Eine Schwachstelle im Apache HttpComponents HttpClient besteht darin, dass
die Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.
CVE-2012-6153: Schwachstelle in Apache Commons HTTPClient
Eine Schwachstelle im Apache HttpComponents Client besteht darin, dass die
Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.
CVE-2014-3472: Schwachstelle in JBoss Enterprise Application Platform
ermöglicht das Umgehen von Sicherheitsvorkehrungen
Die “isCallerInRole()” Methode des SimpleSecurityManager überprüft die
Rollen, die der Aufrufer der Methode besitzt, nicht korrekt. Ein entfernter,
authentifizierter Angreifer kann die Schwachstelle nutzen, um
Sicherheitsvorkehrungen in Anwendungen zu umgehen, die eine
Zugriffskontrolle über Blacklisten einsetzen.
CVE-2014-3490: Schwachstelle in RESTEasy ermöglicht das Ausspähen von
Informationen
Durch die unvollständige Behebung der Schwachstelle CVE-2012-0818 werden
externe Parametereinträge nicht deaktiviert, wenn der
“resteasy.document.expand.entity.references” Parameter auf “false” gesetzt
ist. Ein entfernter, nicht authentifizierter Angreifer kann, durch das
Senden von XML-Anfragen zu einem RESTEasy-Endpunkt, Dateien, die dem
Benutzer des Anwendungsservers zugänglich sind, lesen oder möglicherweise
fortgeschrittene XML External Entities (XXE)-Angriffe durchführen.
CVE-2014-0193: Schwachstelle im WebSocket08FrameDecoder
Eine Schwachstelle im WebSocket08FrameDecoder ermöglicht einem entfernten,
nicht authentisierten Angreifer, indem er eine Serie von
“TextWebSocketFrames” und “ContinuationWebSocketFrames” veröffentlicht, eine
“Out-Of-Memory-Exception” auszulösen. Abhängig von der Serverkonfiguration
kann er dadurch einen Denial-of-Service-Zustand herbeiführen.
CVE-2014-3530: Schwachstelle in PicketLink ermöglicht XXE-Angriffe
Über die Implementierung der
“org.picketlink.common.util.DocumentUtil.getDocumentBuilderFactory()”
Methode wird eine “DocumentBuilderFactory” zur Verfügung gestellt, die
Entity-Referenzen expandiert. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Dateien des Benutzers zu
lesen, der den Application Server betreibt, oder um weitere, schwierigere
XML-External-Entity-Angriffe (XXE) durchzuführen.
CVE-2013-5855: Schwachstelle in Glassfish Server: JavaServer Faces
Eine Schwachstelle besteht in der GlassFish Communications
Server-Komponente, in der Oracle JDeveloper-Komponente bzw. in der Oracle
WebLogic Server-Komponente in Oracle Fusion Middleware (Subkomponenten:
JavaServer Faces bzw. Web Container) Versionen 3.0.1 und 3.1.2 bzw.
Versionen 11.1.2.4.0, 12.1.2.0.0. Die schwer auszunutzende Schwachstelle
erlaubt einem entfernten, nicht authentisierten Angreifer, über HTTP, einige
der über GlassFish Communications Server zugreifbaren Daten zu verändern,
einzufügen und zu löschen.
CVE-2014-3481: Schwachstelle in RESTful Web Services (JAX-RS) legt Daten
offen
Die Java API für RESTful Web Services (JAX-RS) ermöglicht standardmäßig die
“External Entity Expansion”. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle nutzen, um beliebige Dateiinhalte
auszuspähen, von Dateien, auf die der Benutzer des Application Servers
Zugriff hat.
CVE-2014-0119: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass eine schädliche
Webapplikation unter bestimmten Umständen den XML-Parser, welcher von Tomcat
verwendet wird, um XSLT (“Extensible Stylesheet Language Transformations”) –
für das Default Servlet, JSP-Dokumente, “Tag Library Descriptors” (TLDs) und
“Tag Plugin”-Konfigurationsdateien – zu verarbeiten, gegen einen anderen
Parser austauschen kann. Ein entfernter, nicht authentisierter Angreifer
kann, mittels eines eingeschleusten XML-Parsers, die beabsichtigten
Beschränkungen für XML External Entites umgehen (wodurch weitere Angriffe
möglich werden) und/oder XML-Dateien lesen, die durch andere
Webapplikationen auf derselben Tomcat-Instanz verarbeitet werden.
CVE-2014-0099: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass der Programmcode,
welcher verwendet wird, um den “Request Content Length Header” zu parsen,
nicht auf mögliche Überläufe im Ergebnis prüft. Dies erlaubt einem
entfernten, nicht authentisierten Angreifer, wenn sich der Tomcat hinter
einem “Reverse Proxy” befindet, welcher die “Request Content Length Header”
korrekt verarbeitet, “Request-Smuggling”-Angriffe durchzuführen und darüber
Informationen auszuspähen.
CVE-2014-0096: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass das Default-Servlet
den Webapplikationen erlaubt, (auf mehreren Ebenen) eine XSLT (Extensible
Stylesheet Language Transformations) zu definieren, um
Verzeichnisauflistungen (“directory listing”) zu formatieren. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, mittels einer schädlichen Webapplikation, um die
Dateizugriffsbeschränkungen, welche durch den Security Manager gesetzt
wurden, zu umgehen, indem er “External XML Entities” verwendet. Dies erlaubt
ihm, Informationen auszuspähen.
CVE-2014-0075: Schwachstelle in Apache Tomcat erlaubt Denial-of-Service
Eine Schwachstelle in Apache Tomcat besteht in der Möglichkeit, verschiedene
Größenbegrenzungen für Requests zu umgehen, indem man eine missgebildete
“Chunck”-Größe (“chunck size”), als Teil eines in der Größe begrenzten
(“chuncked”) Requests, präpariert. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, um eine unbegrenzte Menge von
Daten zum Server zu übertragen und dadurch einen Denial-of-Service-Angriff
durchzuführen.
CVE-2013-4002: Schwachstelle im Java Runtime Environment
In dem Java Runtime Environment besteht eine Schwachstelle in der Art wie
XML verarbeitet wird. Betroffen sind die Versionen 5.0 vor Version 5.0
SR16-FP3, 6 vor Version 6 SR14, 6.0.1 vor Version 6.0.1 SR6 und 7 vor
Version 7 SR5. Diese Schwachstelle ermöglicht einem entfernten, nicht
authentisierten Angreifer, über manipuliertes XML, die Verfügbarkeit zu
beeinträchtigen.
CVE-2013-4002: Schwachstelle im Java Runtime Environment
In dem Java Runtime Environment besteht eine Schwachstelle in der Art wie
XML verarbeitet wird. Betroffen sind die Versionen 5.0 vor Version 5.0
SR16-FP3, 6 vor Version 6 SR14, 6.0.1 vor Version 6.0.1 SR6 und 7 vor
Version 7 SR5. Diese Schwachstelle ermöglicht einem entfernten, nicht
authentisierten Angreifer, über manipuliertes XML, die Verfügbarkeit zu
beeinträchtigen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0403/
Schwachstelle CVE-2013-4002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4002
Schwachstelle CVE-2013-5855 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5855
Schwachstelle CVE-2014-0193 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0193
Schwachstelle CVE-2014-0075 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0075
Schwachstelle CVE-2014-0096 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0096
Schwachstelle CVE-2014-0099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0099
Schwachstelle CVE-2014-0119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0119
Schwachstelle CVE-2014-3481 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3481
Schwachstelle CVE-2014-3530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3530
Schwachstelle CVE-2014-0005 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0005
Schwachstelle CVE-2014-3490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3490
Schwachstelle CVE-2014-3472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3472
Schwachstelle CVE-2012-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6153
Schwachstelle CVE-2014-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3577
Schwachstelle CVE-2014-3558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3558
Schwachstelle CVE-2014-3625 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3625
Schwachstelle CVE-2014-0227 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0227
Schwachstelle CVE-2014-3578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3578
Red Hat Security Advisory RHSA-2015:0720:
http://rhn.redhat.com/errata/RHSA-2015-0720.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
