UPDATE: DFN-CERT-2015-0157 Red Hat JBoss Fuse/A-MQ, Fuse ESB Enterprise/Fuse MQ Enterprise: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux][RedHat]

UPDATE: DFN-CERT-2015-0157 Red Hat JBoss Fuse/A-MQ, Fuse ESB Enterprise/Fuse MQ Enterprise: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.07.2015):
Red Hat die Schwachstelle CVE-2014-3576 dem Advisory RHSA-2015:0137-1 als
ebenfalls behoben hinzugefügt.
Version 1 (06.02.2015):
Neues Advisory

Betroffene Software:

RedHat JBoss Fuse 6.1.0
RedHat Fuse ESB Enterprise 7.1.0

Betroffene Plattformen:

RedHat JBoss Fuse
RedHat Fuse ESB Enterprise

Mehrere Schwachstellen in Red Hat JBoss Fuse / Fuse ESB Enterprise
ermöglichen einem entfernten, nicht authentifizierten Angreifer
Informationen auszuspähen, Denial-of-Service-Angriffe auszuführen oder
Administrationsrechte zu erlangen. Red Hat stellt Patches auf Red Hat JBoss
Fuse and A-MQ Version 6.1.0 Patch 3 Rollup Patch 1 und Fuse ESB
Enterprise/MQ Enterprise 7.1.0 R1 P8 zur Verfügung.

Patch:

Red Hat Security Advisory RHSA-2015:0137

http://rhn.redhat.com/errata/RHSA-2015-0137.html

Patch:

Red Hat Security Advisory RHSA-2015:0138

http://rhn.redhat.com/errata/RHSA-2015-0138.html

CVE-2014-3576: Schwachstelle in JBoss Fuse erlaubt Denial-of-Service-Angriff

Eine Schwachstelle im Apache ActiveMQ Broker basiert auf der Bereitstellung
eines Kommandos zum Herunterfahren über den Fernzugriff ohne jegliche
Authentifizierung. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um den Listener des ActiveMQ Broker
herunterzufahren und so einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-3612: Schwachstelle im LDAPLoginModule ermöglicht das Erlangen von
Administrationsrechten

Eine Schwachstelle in der Implementierung des LDAPLoginModule im “ActiveMQ
Java Authentication and Authorization Service” (JAAS) führt dazu, dass ein
Login mit gültigem Benutzernamen und leerem Passwort-Feld erfolgreich ist.
Ein entfernter, nicht authentifizierter Angreifer kann Administrationsrechte
erlangen.

CVE-2014-3600: Schwachstelle in ActiveMQ ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in Apache ActiveMQ führt dazu, dass bei der Auswertung
von XPath-Ausdrücken externe XML Referenzen (XML External Entity (XXE)
aufgelöst werden. Ein entfernter, nicht authentifizierter Angreifer kann
durch präparierte XXE-Referenzen beliebige Dateien lesen, auf die der
Besitzer des ‘Apache ActiveMQ broker’ Zugriff hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0157/

Red Hat Security Advisory RHSA-2015:0137:
http://rhn.redhat.com/errata/RHSA-2015-0137.html

Red Hat Security Advisory RHSA-2015:0138:
http://rhn.redhat.com/errata/RHSA-2015-0138.html

Schwachstelle CVE-2014-3600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3600

Schwachstelle CVE-2014-3612 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3612

Schwachstelle CVE-2014-3576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3576

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben