Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
RedHat JBoss Enterprise Portal Platform < 6.2.0 Betroffene Plattformen: RedHat JBoss Enterprise Portal Platform Mehrere Schwachstellen in Komponenten, die im Red Hat JBoss Portal eingesetzt werden, ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Ausspähen von sensiblen Informationen (auch Passwörtern), Umgehen von Sicherheitsvorkehrungen, Manipulieren von Dateien, Durchführen von Denial-of-Service- und Cross-Site-Scripting-Angriffen und Ausführen beliebigen Programmcodes. Red Hat stellt das Red Hat JBoss Portal 6.2.0 zur Behebung der Schwachstellen bereit. Patch: Red Hat Security Advisory RHSA-2015:1009 http://rhn.redhat.com/errata/RHSA-2015-1009.html
CVE-2014-0245: Schwachstelle ermöglicht das Ausspähen von Informationen
Die Implementation der GTNSubjectCreatingInterceptor Klasse in gatein-wsrp
besitzt keine Thread-Sicherheit. Ein entfernter, nicht authentisierter
Angreifer kann das nutzen, um Informationen auszuspähen.
CVE-2014-3586: Schwachstelle in JBoss AS CLI erlaubt unsicheres Erzeugen von
Dateien
Das JBoss AS Command Line Interface (CLI), wie es von der Red Hat Enterprise
Application Platform bereitgestellt wird, erzeugt eine History-Datei mit
Namen “.jboss-cli-history” im Home-Verzeichnis des Benutzers mit unsicheren
Default-Dateiberechtigungen. Ein lokal angemeldeter Benutzer, als Angreifer,
kann diese Schwachstelle ausnutzen, um Informationen auszuspähen, die ihm
ansonsten nicht zugänglich wären.
CVE-2014-0005: Schwachstelle in PicketBox/JBossSX ermöglicht das Ausführen
beliebigen Programmcodes
Eine Schwachstelle in PicketBox/JBossSX ermöglicht jeder installierten
Anwendung die Konfiguration des unterliegenden Anwendungsservers zu lesen
und zu ändern, ohne dass eine Autorisierung notwendig ist. Eine präparierte
Anwendung kann Sicherungsmaßnahmen umgehen, Informationen auslesen oder
beliebigen Programmcode ausführen. Ein lokaler, nicht authentifizierter
Angreifer kann beliebigen Programmcode ausführen.
CVE-2014-0227: Schwachstelle in Chunked Transfer Encoding ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in dem ‘Chunked Transfer Encoding’ von Tomcat führt dazu,
dass bei der Verarbeitung einer präparierten Chunk-Anfrage Teile des
Anfrage-Hauptteil als eine neue Anfrage aufgefasst werden. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.
CVE-2014-3574: Schwachstelle in Apache POI ermöglicht
Denial-of-Service-Angriffe
Es besteht eine Schwachstelle in Apache POI, die bei der Analyse von
OpenXML-Dateien, unter Verwendung von Java XML-Bibliotheken sowie Apache
“Xmlbeans”, auftritt. Ein entfernter, nicht authentisierter Angreifer kann,
durch Übertragung von OpenXML-Dateien an eine Anwendung, die Schwachstelle
zu einem XEE-Angriff (XML Entity Expansion) ausnutzen und so einen
Denial-of-Service-Zustand hervorrufen.
CVE-2014-3529: Schwachstelle in Apache POI ermöglicht das Auspähen von
Informationen und XXE-Angriffe
Es besteht eine Schwachstelle in Apache POI, die bei der Analyse von
OpenXML-Dateien unter Verwendung von Java XML-Bibliotheken auftritt. Ein
entfernter, nicht authentisierter Angreifer kann, durch Übertragung von
OOXML-Dateien an eine Anwendung, die Schwachstelle zu einem XXE-Angriff (XML
External Entity) ausnutzen und beliebige Dateien des Anwenders auslesen.
CVE-2014-4172: Schwachstelle im JA-SIG CAS Client ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Es existiert eine Schwachstelle bei der URL-Kodierung in der Back-Channel
Ticket Validierung des JA-SIG CAS Client. Ein entfernter, nicht
authentifizierter Angreifer kann, durch das Injizieren von Parameter in die
URL, Sicherheitsvorkehrungen umgehen.
CVE-2014-3577: Schwachstelle in Apache Commons HTTPClient
Eine Schwachstelle im Apache HttpComponents HttpClient besteht darin, dass
die Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist.
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.
CVE-2012-6153: Schwachstelle in Apache Commons HTTPClient
Eine Schwachstelle im Apache HttpComponents Client besteht darin, dass die
Überprüfung des Hostnames anfällig für Man-in-the-Middle-Angriffe ist. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um einen Benutzer des HTTPClients auf einen falschen und
potentiell schädlichen Host umzuleiten, wodurch weitere, nicht näher
spezifizierte Angriffe möglich werden.
CVE-2014-3472: Schwachstelle in JBoss Enterprise Application Platform
ermöglicht das Umgehen von Sicherheitsvorkehrungen
Die “isCallerInRole()” Methode des SimpleSecurityManager überprüft die
Rollen, die der Aufrufer der Methode besitzt, nicht korrekt. Ein entfernter,
authentifizierter Angreifer kann die Schwachstelle nutzen, um
Sicherheitsvorkehrungen in Anwendungen zu umgehen, die eine
Zugriffskontrolle über Blacklisten einsetzen.
CVE-2014-3490: Schwachstelle in RESTEasy ermöglicht das Ausspähen von
Informationen
Durch die unvollständige Behebung der Schwachstelle CVE-2012-0818 werden
externe Parametereinträge nicht deaktiviert, wenn der
“resteasy.document.expand.entity.references” Parameter auf “false” gesetzt
ist. Ein entfernter, nicht authentifizierter Angreifer kann, durch das
Senden von XML-Anfragen zu einem RESTEasy-Endpunkt, Dateien, die dem
Benutzer des Anwendungsservers zugänglich sind, lesen oder möglicherweise
fortgeschrittene XML External Entities (XXE)-Angriffe durchführen.
CVE-2014-0193: Schwachstelle im WebSocket08FrameDecoder
Eine Schwachstelle im WebSocket08FrameDecoder ermöglicht einem entfernten,
nicht authentisierten Angreifer, indem er eine Serie von
“TextWebSocketFrames” und “ContinuationWebSocketFrames” veröffentlicht, eine
“Out-Of-Memory-Exception” auszulösen. Abhängig von der Serverkonfiguration
kann er dadurch einen Denial-of-Service-Zustand herbeiführen.
CVE-2013-1624: TLS/DTLS Schwachstelle in bouncycastle
Es besteht eine Schwachstelle in der TLS/DTLS Implementierung von
bouncycastle bei Verwendung im CBC-Modus.
Ein entfernter, nicht authentifizierter Angreifer kann mittels eines
Man-in-the-Middle-Angriffs Klartext aus verschlüsselter Kommunikation
wiederherstellen.
CVE-2014-3530: Schwachstelle in PicketLink ermöglicht XXE-Angriffe
Über die Implementierung der
“org.picketlink.common.util.DocumentUtil.getDocumentBuilderFactory()”
Methode wird eine “DocumentBuilderFactory” zur Verfügung gestellt, die
Entity-Referenzen expandiert. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Dateien des Benutzers zu
lesen, der den Application Server betreibt, oder um weitere, schwierigere
XML-External-Entity-Angriffe (XXE) durchzuführen.
CVE-2013-5855: Schwachstelle in Glassfish Server: JavaServer Faces
Eine Schwachstelle besteht in der GlassFish Communications
Server-Komponente, in der Oracle JDeveloper-Komponente bzw. in der Oracle
WebLogic Server-Komponente in Oracle Fusion Middleware (Subkomponenten:
JavaServer Faces bzw. Web Container) Versionen 3.0.1 und 3.1.2 bzw.
Versionen 11.1.2.4.0, 12.1.2.0.0. Die schwer auszunutzende Schwachstelle
erlaubt einem entfernten, nicht authentisierten Angreifer, über HTTP, einige
der über GlassFish Communications Server zugreifbaren Daten zu verändern,
einzufügen und zu löschen.
CVE-2014-3481: Schwachstelle in RESTful Web Services (JAX-RS) legt Daten
offen
Die Java API für RESTful Web Services (JAX-RS) ermöglicht standardmäßig die
“External Entity Expansion”. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle nutzen, um beliebige Dateiinhalte
auszuspähen, von Dateien, auf die der Benutzer des Application Servers
Zugriff hat.
CVE-2014-0110: Denial-of-Service-Schwachstelle in Apache CXF
Apache CXF vor Version 2.6.14 und 2.7.x vor Version 2.7.11 enthält eine
Schwachstelle beim Verarbeiten von großen, ungültigen SOAP Nachrichten. Ein
entfernter, nicht authentifizierter Angreifer kann, durch das Senden von
manipulierten SOAP-Nachrichten, bewirken, dass ein extremer
Speicherverbrauch eintritt, da die SOAP-Nachricht als temporäre Datei in das
/tmp Verzeichnis geschrieben wird und in der Folge ein
Denial-of-Service-Zustand eintritt.
CVE-2014-0109: Denial-of-Service-Schwachstelle in Apache CXF
Apache CXF vor Version 2.6.14 und 2.7.x vor Version 2.7.11 enthält eine
Schwachstelle beim Erzeugen von Fehlermeldungen für spezielle POST Anfragen.
Ein entfernter, nicht authentifizierter Angreifer kann, durch das Senden von
manipulierten Anfragen, bewirken, dass ein extremer Speicherverbrauch
eintritt und ein “Out of Memory”-Fehler daraus resultiert.
CVE-2014-0035: Fehlende Verschlüsselung des Apache CXF-Clients
Ein Apache CXF-Client, der eine symmetrische “EncryptBeforeSigning” Passwort
Policy verwendet, sendet Username Tokens fälschlicherweise im Klartext. Ein
entfernter, nicht authentifizierter Angreifer ist in der Lage diese
Schwachstelle für Man-in-the-Middle-Angriffe zu nutzen und Benutzername plus
Passwort auszuspähen.
CVE-2014-0034: Schwachstelle im Apache CXF SecurityTokenService(STS)
Der SecurityTokenService, der als Teil von Apache CXF verfügbar ist,
akzeptiert unter bestimmten Umständen ungültige SAML (Security Assertion
Markup Language) Token als gültig. Ein entfernter, nicht authentifizierter
Angreifer kann, durch ein speziell manipuliertes SAML-Token, Zugriff auf
eine Anwendung erlangen, die STS für die Validierung des SAML Tokens
einsetzt.
CVE-2014-0059: Schwachstelle in JBoss Enterprise Application Platform
Durch eine Schwachstelle in der Sicherheitsüberwachungsfunktionalität von
PicketBox und JBossSX werden sensible Informationen in der, für alle
lesbaren, “audit.log” aufgezeichnet. Ein lokaler, nicht authentifizierter
Angreifer kann sensible Informationen ausspähen.
CVE-2014-0119: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass eine schädliche
Webapplikation unter bestimmten Umständen den XML-Parser, welcher von Tomcat
verwendet wird, um XSLT (“Extensible Stylesheet Language Transformations”) –
für das Default Servlet, JSP-Dokumente, “Tag Library Descriptors” (TLDs) und
“Tag Plugin”-Konfigurationsdateien – zu verarbeiten, gegen einen anderen
Parser austauschen kann. Ein entfernter, nicht authentisierter Angreifer
kann, mittels eines eingeschleusten XML-Parsers, die beabsichtigten
Beschränkungen für XML External Entites umgehen (wodurch weitere Angriffe
möglich werden) und/oder XML-Dateien lesen, die durch andere
Webapplikationen auf derselben Tomcat-Instanz verarbeitet werden.
CVE-2014-0099: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass der Programmcode,
welcher verwendet wird, um den “Request Content Length Header” zu parsen,
nicht auf mögliche Überläufe im Ergebnis prüft. Dies erlaubt einem
entfernten, nicht authentisierten Angreifer, wenn sich der Tomcat hinter
einem “Reverse Proxy” befindet, welcher die “Request Content Length Header”
korrekt verarbeitet, “Request-Smuggling”-Angriffe durchzuführen und darüber
Informationen auszuspähen.
CVE-2014-0096: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass das Default-Servlet
den Webapplikationen erlaubt, (auf mehreren Ebenen) eine XSLT (Extensible
Stylesheet Language Transformations) zu definieren, um
Verzeichnisauflistungen (“directory listing”) zu formatieren. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, mittels einer schädlichen Webapplikation, um die
Dateizugriffsbeschränkungen, welche durch den Security Manager gesetzt
wurden, zu umgehen, indem er “External XML Entities” verwendet. Dies erlaubt
ihm, Informationen auszuspähen.
CVE-2014-0075: Schwachstelle in Apache Tomcat erlaubt Denial-of-Service
Eine Schwachstelle in Apache Tomcat besteht in der Möglichkeit, verschiedene
Größenbegrenzungen für Requests zu umgehen, indem man eine missgebildete
“Chunck”-Größe (“chunck size”), als Teil eines in der Größe begrenzten
(“chuncked”) Requests, präpariert. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, um eine unbegrenzte Menge von
Daten zum Server zu übertragen und dadurch einen Denial-of-Service-Angriff
durchzuführen.
CVE-2014-0093: JBoss Enterprise Application Platform: JSM Policy wird nicht
berücksichtigt
Eine Schwachstelle in JBoss Enterprise Application Platform besteht darin,
dass die Java Security Manager Policy von den auf der JBoss EAP 6 laufenden
Applikationen nicht respektiert wird. Dies ermöglicht einem entfernten,
nicht authentisierten Angreifer unter Umgehung der JSM Policy beliebige
Anwendungen zur Ausführung zu bringen.
CVE-2014-0107: Schwachstelle in Xalan-Java
Es besteht eine Schwachstelle im “FEATURE_SECURE_PROCESSING” der
“TransformerFactory” innerhalb der Ausgabeeinstellungen. Ein entfernter,
nicht authentifizierter Angreifer kann durch die Angabe einer externen
Referenz beliebigen Programmcode zur Ausführung bringen.
CVE-2014-0086: Schwachstelle in JBoss RichFaces
Durch einen Fehler in RichFaces ist es möglich, mit präparierten Anfragen
Speicherlecks auszunutzen. Ein entfernter, nicht authentifizierter Angreifer
kann Denial-of-Service-Angriffe durchführen. Der Angreifer muss hierfür eine
große Anzahl von präparierten Anfragen an die RichFaces-Anwendung sendet,
die vom Atmosphere-Framework verwendet wird.
CVE-2013-4286: Apache Tomcat: Schwachstelle ermöglicht ‘Request-Smuggling’
Falls im Apache Tomcat der HTTP Connector oder der AJP Connector verwendet
werden, werden bestimmte inkonsistente HTTP-Header nicht fehlerfrei
verarbeitet. Dies ermöglicht einem entfernten, nicht authentifizierten
Angreifer durch einen ‘Request-Smuggling’ Angriff weitere Angriffe wie Cache
Poisoning, Session Hijacking oder Cross-Site-Scripting durchzuführen.
CVE-2014-0058: Schwachstelle in JBoss Enterprise Application Platform
Das Security Audit der Red Hat JBoss Enterprise Application Platform
protokolliert Anfrageparameter im Klartext. In den Protokolldateien zum
Audit werden Passworte gespeichert, wenn die BASIC- oder FORM-basierte
Authentifizierung benutzt wird. Ein lokaler Angreifer mit Zugriffsrechten
auf die Protokolldateien kann diese Schwachstelle ausnutzen, um Anwendungs-
oder Server-Credentials zu erhalten.
CVE-2014-0018: Schwachstelle in jboss-as-server erlaubt ungeprüften Zugang
zu MSC Service Registry unter JSM
Eine Schwachstelle wurde in Red Hat JBoss Enterprise Application Platform
gefunden, für den Fall dass diese unter einem Security Manager läuft. Diese
Schwachstelle erlaubt einem lokalen, nicht authentisierten Angreifer
Programmcode mit Zugriff auf die Modular Service Container (MSC) Service
Registry auszuführen, ohne dass dabei eine Überprüfung der Berechtigung
stattfindet. Unter Ausnutzung dieser Schwachstelle kann somit schädlicher
Programmcode zur Ausführung gebracht werden, der zum Beispiel den internen
Zustand des Servers in vielfältiger Weise verändern kann.
CVE-2013-7285: Schwachstelle in XStream
Eine Schwachstelle in XStream wandelt beliebigen, von Benutzern
bereitgestellten XML-Inhalt in Objekte jeden Typs um. Ein entfernter, nicht
authentifizierter Angreifer kann durch präparierten XML-Inhalt beliebige
Befehle mit den Rechten des Dienstes ausführen.
CVE-2014-0050: Schwachstelle in Apache Commons FileUpload ermöglicht DoS
Apache Commons FileUpload verarbeitet bestimmte MultipartStreams nicht
fehlerfrei, falls der verwendete Puffer zu klein ist. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch das Senden eines
präparierten MultipartStreams, dessen Puffergröße nicht ausreichend ist, den
Webserver in eine Endlosschleife zu versetzen und somit einen
Denial-of-Service-Zustand auszulösen.
CVE-2013-2133: Schwachstelle in EJB-Invocation-Handler von JBoss WS
Durch einen Programmierfehler in der Implementierung des
EJB-Invocation-Handler in Red Hat JBoss WS wird die Rechteüberprüfung bei
Methoden für JAX-WS Service Endpoints nicht korrekt durchgeführt. Ein
entfernter, authentisierter Angreifer kann dadurch ohne Berechtigung einen
JAX-WS-Handler aufrufen. Diese Schwachstelle betrifft die JBoss WS
Implementierung, die in den JBoss Enterprise Application Platform (EAP)
Versionen vor 6.2.0 verwendet wird.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0712/
Schwachstelle CVE-2013-2133 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-2133
Schwachstelle CVE-2013-7285 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7285
Schwachstelle CVE-2014-0018 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0018
Schwachstelle CVE-2014-0050 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0050
Schwachstelle CVE-2013-5855 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5855
Schwachstelle CVE-2014-0086 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0086
Schwachstelle CVE-2014-0058 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0058
Schwachstelle CVE-2013-4286 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4286
Schwachstelle CVE-2014-0093 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0093
Schwachstelle CVE-2014-0107 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0107
Schwachstelle CVE-2013-1624 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1624
Schwachstelle CVE-2014-0193 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0193
Schwachstelle CVE-2014-0109 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0109
Schwachstelle CVE-2014-0110 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0110
Schwachstelle CVE-2014-0099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0099
Schwachstelle CVE-2014-0119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0119
Schwachstelle CVE-2014-0059 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0059
Schwachstelle CVE-2014-0034 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0034
Schwachstelle CVE-2014-0035 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0035
Schwachstelle CVE-2014-3481 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3481
Schwachstelle CVE-2014-3530 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3530
Schwachstelle CVE-2014-0005 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0005
Schwachstelle CVE-2014-3490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3490
Schwachstelle CVE-2014-3472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3472
Schwachstelle CVE-2012-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6153
Schwachstelle CVE-2014-3577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3577
Schwachstelle CVE-2014-4172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4172
Schwachstelle CVE-2014-3529 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3529
Schwachstelle CVE-2014-3574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3574
Schwachstelle CVE-2014-0227 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0227
Schwachstelle CVE-2014-3586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3586
Red Hat Security Advisory RHSA-2015:1009:
http://rhn.redhat.com/errata/RHSA-2015-1009.html
Schwachstelle CVE-2014-0245 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0245
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
