DFN-CERT-2017-1560 Red Hat Software Collections: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2017-1560 Red Hat Software Collections: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Groovy
Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7

Betroffene Plattformen:

Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
in Apache Groovy ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Red Hat stellt für Red Hat Software Collections (for RHEL Server /
Workstation) 1 for RHEL 6 und RHEL 7 verschiedene Sicherheitsupdates für
‘rh-maven33-groovy’ bereit, um die beiden Schwachstellen zu adressieren.

Patch:

Red Hat Security Advisory RHSA-2017:2596

https://access.redhat.com/errata/RHSA-2017:2596

CVE-2016-6814: Schwachstelle in Apache Groovy ermöglicht Ausführen
beliebigen Programmcodes

In Groovy 1.7.0 bis 2.4.3 (nicht unterstützte Versionen) und Apache Groovy
2.4.4 bis 2.4.7 existiert eine Schwachstelle, wenn eine Anwendung mit Groovy
auf dem Klassenpfad den Standard Java Mechanismus zur Serialisierung
verwendet, beispielsweise zur Kommunikation zwischen Servern oder um lokale
Daten zu speichern. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

CVE-2015-3253: Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in der ‘MethodClosure’-Funktion in
‘runtime/MethodClosure.java’ in Apache Groovy von Version 1.7.0 bis 2.4.3.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
mittels eines präparierten serialisierten Objektes ausnutzen, um beliebigen
Programmcode auszuführen oder einen Denial-of-Service (DoS)-Angriff
durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1560/

Schwachstelle CVE-2015-3253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3253

Schwachstelle CVE-2016-6814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6814

Red Hat Security Advisory RHSA-2017:2596:
https://access.redhat.com/errata/RHSA-2017:2596

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben