DFN-CERT-2017-1442 Red Hat JBoss Data Virtualization: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2017-1442 Red Hat JBoss Data Virtualization: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat JBoss Data Virtualization < 6.3 Update 7 Betroffene Plattformen: Red Hat JBoss Data Virtualization Mehrere Schwachstellen in von Red Hat JBoss Data Virtualization verwendeten Komponenten ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die Durchführung von Denial-of-Service (DoS)-Angriffen. Ein entfernter, einfach authentisierter Angreifer kann einen weiteren Denial-of-Service-Angriff durchführen. Red Hat stellt zur Behebung der Schwachstellen in Red Hat JBoss Data Virtualization die Version 6.3 Update 7 als Sicherheitsupdate bereit. Patch: Red Hat Security Advisory RHSA-2017:2477 https://access.redhat.com/errata/RHSA-2017:2477

CVE-2015-3254: Schwachstelle in Apache Thrift ermöglicht
Denial-of-Service-Angriff

Die Client-Bibliothek in Apache Thrift ermöglicht es einem Angreifer über
nicht näher genannte Vektoren, welche die ‘skip’-Funktion einbeziehen, eine
unendliche Rekursion zu verursachen, wodurch der Programmablauf nicht
fortgeführt wird und ein Denial-of-Service (DoS)-Zustand eintritt. Ein
entfernter, einfach authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2017-7525: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes

Die Methode ‘readValue’ im ObjectMapper von jackson-databind ermöglicht es
über präparierte Eingaben, während der Deserialisierung von Objekten,
beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über ein
System möglicherweise vollständig zu übernehmen. Ein entfernter, nicht
authentisierter Angreifer kann beliebigen Programmcode zur Ausführung
bringen.

CVE-2017-5637: Schwachstelle in Apache ZooKeeper ermöglicht
Denial-of-Service-Angriff

Apache ZooKeeper beschränkt den Zugriff auf die ressourcenintensiven Befehle
wchp und wchc nicht. Ein entfernter, nicht authentisierter Angreifer kann
die Schwachstelle in Apache ZooKeeper ausnutzen, um den Prozessor des
Servers kurzzeitig stark zu belasten. Der Angriff erfolgt auf einen offenen
Port und sorgt zusätzlich dafür, dass keine weiteren Anfragen auf diesem
Port mehr verarbeitet werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1442/

Schwachstelle CVE-2017-5637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5637

Schwachstelle CVE-2015-3254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3254

Schwachstelle CVE-2017-7525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7525

Red Hat Security Advisory RHSA-2017:2477:
https://access.redhat.com/errata/RHSA-2017:2477

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben