Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts >= 1.1

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
SUSE Manager Server
SUSE Manager 1.7 for SLE 11 SP2

Eine Schwachstelle in Struts ermöglicht es einem entfernten, nicht
authentifizierten Angreifer Sicherheitsmaßnahmen zu umgehen.
Für SUSE Manager Server, SUSE Manager 1.7 für SLE 11 SP2 und SUSE Linux
Enterprise Software Development Kit 11 SP3 stehen Sicherheitsupdates zur
Verfügung.

Patch:

SUSE Security Update SUSE-SU-2015:0886-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150886-1.html

CVE-2015-0899: Schwachstelle in Struts ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Struts 1.1 und höher ermöglicht es, die vorgesehene
Überprüfung von Benutzereingaben zu umgehen. Die Überprüfungsfunktion
(Validator) in Struts enthält eine effiziente Methode Überprüfungsregeln,
die über mehrere Seiten gelten, zu definieren (MultiPageValidator). Durch
das Ausnutzen der Schwachstelle können diese Regeln beim Übergang der
Anzeige der Seiten umgangen werden. Die Schwachstelle ist auch dann
ausnutzbar, wenn die betroffene Methode (Validator) nicht explizit
aufgerufen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0717/

Schwachstelle CVE-2015-0899 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0899

SUSE Security Update SUSE-SU-2015:0886-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150886-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.