DFN-CERT-2016-1128 Red Hat JBoss A-MQ, JBoss Fuse: Mehrere Schwachstellen ermöglichen u.a. das Darstellen falscher Informationen [Linux][RedHat]

DFN-CERT-2016-1128 Red Hat JBoss A-MQ, JBoss Fuse: Mehrere Schwachstellen ermöglichen u.a. das Darstellen falscher Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss A-MQ < 6.2.1 Rollup Patch 3 RedHat JBoss Fuse < 6.2.1 Rollup Patch 3 Betroffene Plattformen: RedHat JBoss A-MQ RedHat JBoss Fuse Mehrere Schwachstellen in ActiveMQ ermöglichen einem entfernten, auch nicht authentifizierten Angreifer das Darstellen falscher Informationen sowie das Durchführen von Cross-Site-Scripting (XSS)-Angriffen vermöge derer u.a. Informationen ausgespäht werden können. Red Hat stellt 'Rollup Patch 3' für Red Hat JBoss A-MQ 6.2.1 und Red Hat JBoss Fuse 6.2.1 als Sicherheitsupdates bereit. Patch: Red Hat Security Advisory RHSA-2016:1424 http://rhn.redhat.com/errata/RHSA-2016-1424.html

CVE-2016-0782: Schwachstellen in ActiveMQ ermöglichen
Cross-Site-Scripting-Angriffe

Es existieren mehrere nicht näher beschriebene
Cross-Site-Scripting-Schwachstellen in der Web-Konsole in ActiveMQ aufgrund
unzureichender Überprüfung von Benutzereingaben sowie falscher Konfiguration
von Berechtigungen auf Jolokia. Zudem ist es möglich einen
Java-Speicherauszug in einem beliebigen Pfad zu erstellen. Ein entfernter,
einfach authentifizierter Angreifer kann Cross-Site-Scripting-Angriffe
durchführen und dadurch u.a. Informationen ausspähen.

CVE-2016-0734: Schwacshtelle in ActiveMQ ermöglicht Darstellen falscher
Informationen

Es existiert eine Clickjacking-Schwachstelle in der ActiveMQ Web-Konsole,
weil in HTTP-Antworten der X-Frame-Options-Header nicht gesetzt wird.
Dadurch ist es möglich, die Konsole in Frames oder iFrames einzubetten und
Benutzer dazu zu verleiten unbeabsichtigte Aktionen in der Konsole
auszuführen. Ein entfernter, nicht authentifizierter Angreifer kann
Informationen falsch darstellen und so einen Clickjacking-Angriff
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1128/

Schwachstelle CVE-2016-0734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0734

Schwachstelle CVE-2016-0782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0782

Red Hat Security Advisory RHSA-2016:1424:
http://rhn.redhat.com/errata/RHSA-2016-1424.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben