UPDATE: DFN-CERT-2017-0455 Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglicht u.a. die Übernahme eines Systems [Linux][RedHat]

UPDATE: DFN-CERT-2017-0455 Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglicht u.a. die Übernahme eines Systems [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.03.2017):
Red Hat stellt aktualisierte Pakete für das Red Hat JBoss Enterprise
Application Platform 6.4.14 Release für RHEL 5, 6 und 7 bereit. Für die
Red Hat JBoss Enterprise Application Platform 6.4 für RHEL 6 steht
außerdem ein aktualisiertes Paket ‘jboss-ec2-eap’ zur Verfügung, das
Skripte für den Betrieb auf der Amazon Web Services (AWS) Elastic Compute
Cloud (EC2) enthält, um die Kompatibilität mit dem Red Hat JBoss
Enterprise Application Platform Release 6.4.14 sicherzustellen.
Version 1 (17.03.2017):
Neues Advisory

Betroffene Software:

Red Hat JBoss Enterprise Application Platform < 6.4.14 Betroffene Plattformen: Red Hat Enterprise Linux Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Zwei Schwachstellen in von der Red Hat JBoss Enterprise Application Platform verwendeten Komponenten ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service-Angriffen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer zudem das Eskalieren von Privilegien, wodurch eine System vollständig vom Angreifer übernommen werden kann. Red Hat stellt zur Behebung der Schwachstellen die Red Hat JBoss Enterprise Application Platform in der Version 6.4.14 bereit. Patch: Red Hat Security Advisory RHSA-2017:0517 http://rhn.redhat.com/errata/RHSA-2017-0517.html

Patch:

Red Hat Security Advisory RHSA-2017:0826 (JBoss Enterprise Application
Platform 6 EL5)

http://rhn.redhat.com/errata/RHSA-2017-0826.html

Patch:

Red Hat Security Advisory RHSA-2017:0827 (JBoss Enterprise Application
Platform 6 EL6)

http://rhn.redhat.com/errata/RHSA-2017-0827.html

Patch:

Red Hat Security Advisory RHSA-2017:0828 (JBoss Enterprise Application
Platform 6 EL 7)

http://rhn.redhat.com/errata/RHSA-2017-0828.html

Patch:

Red Hat Security Advisory RHSA-2017:0829 (JBoss Enterprise Application
Platform 6 EL6, jboss-ec2-eap)

http://rhn.redhat.com/errata/RHSA-2017-0829.html

CVE-2016-8657: Schwachstelle in JBoss Enterprise Application Platform
ermöglicht komplette Systemübernahme

JBoss Enterprise Application Platform (EAP) Pakete verwenden in bestimmten
Red Hat Enterprise Linux Versionen für die
‘/etc/sysconfig/jbossas’-Konfigurationsdatei falsche Berechtigungen, wodurch
die Benutzergruppe ‘jboss’ Schreibrechte auf dieser Datei besitzt
(root:jboss, 664). Auf Systemen mit klassischem ‘/etc/init.d’-
Initialisierungsskript wird die Datei durch das jboss-Initialisierungsskript
bereitgestellt und der Inhalt mit Root-Rechten ausgeführt, sobald der
jboss-Dienst (neu) gestartet oder gestoppt wird. Ein lokaler, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen und Privilegien
eskalieren, wodurch ein System auch vollständig übernommen werden kann.

CVE-2016-6346: Schwachstelle in RESTEasy ermöglicht
Denial-of-Service-Angriff

Der GZIPInterceptor wird von RESTEasy aktiviert, auch wenn dieser nicht
benötigt wird. Ein entfernter, nicht authentisierter Angreifer kann diesen
Umstand ausnutzen und über nicht genannte Vektoren einen
Denial-of-Service-Angriff durchführen.

CVE-2017-6056: Schwachstelle in Apache Tomcat ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung bestimmter HTTPS-Anfragen im Apache Tomcat Servlet und
in der JavaServer Pages Engine kann es aufgrund eines Programmierfehlers zu
einer Endlosschleife kommen. Ein entfernter, nicht authenthisierter
Angreifer kann einen Denial-of-Service (DoS)-Angriff gegen Apache Tomcat
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0455/

Schwachstelle CVE-2016-6346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6346

Schwachstelle CVE-2016-8657 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8657

Schwachstelle CVE-2017-6056 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6056

Red Hat Security Advisory RHSA-2017:0517:
http://rhn.redhat.com/errata/RHSA-2017-0517.html

Red Hat Security Advisory RHSA-2017:0826 (JBoss Enterprise Application
Platform 6 EL5):
http://rhn.redhat.com/errata/RHSA-2017-0826.html

Red Hat Security Advisory RHSA-2017:0827 (JBoss Enterprise Application
Platform 6 EL6):
http://rhn.redhat.com/errata/RHSA-2017-0827.html

Red Hat Security Advisory RHSA-2017:0828 (JBoss Enterprise Application
Platform 6 EL 7):
http://rhn.redhat.com/errata/RHSA-2017-0828.html

Red Hat Security Advisory RHSA-2017:0829 (JBoss Enterprise Application
Platform 6 EL6, jboss-ec2-eap):
http://rhn.redhat.com/errata/RHSA-2017-0829.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben