DFN-CERT-2015-0779 JBoss A-MQ, JBoss Fuse: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT-2015-0779 JBoss A-MQ, JBoss Fuse: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss A-MQ 6.1.0
RedHat JBoss Fuse 6.1.0

Betroffene Plattformen:

Red Hat Linux

Zwei Schwachstellen in JBoss A-MQ und JBoss Fuse ermöglichen einem
entfernten, nicht authentifizierten Angreifer Informationen auszuspähen. Red
Hat stellt JBoss Fuse and A-MQ 6.1.0 Patch 4 on Rollup Patch 2 (R2P4) zur
Verfügung, um diese Schwachstellen zu beheben.

Patch:

Red Hat Security Advisory RHSA-2015:1041

http://rhn.redhat.com/errata/RHSA-2015-1041.html

CVE-2015-0264: Schwachstelle in XPath ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in XPath führt dazu, dass beim Auswerten von ungültigen
XML-Zeichenketten bzw. GenericFile-Objekten externe XML-Referenzen bereits
aufgelöst werden. Dadurch ist es möglich, alle lokalen Dateien auf die der
Besitzer des XPath-Prozesses Leserechte hat auszulesen. Ein entfernter,
nicht authentifizierter Angreifer kann Informationen ausspähen.

CVE-2015-0263: Schwachstelle in JBoss ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in der Verarbeitung von externen XML-Referenzen führt zu
einer fehlerhaften Auflösung der Referenzen. Dadurch ist es möglich, eine
SAXSource einzureichen, so dass externe Referenzen lokal aufgelöst werden
und beliebige lokale Dateien gelesen werden können. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0779/

Red Hat Security Advisory RHSA-2015:1041:
http://rhn.redhat.com/errata/RHSA-2015-1041.html

Schwachstelle CVE-2015-0263 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0263

Schwachstelle CVE-2015-0264 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0264

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben