DFN-CERT-2017-1955 Red Hat JBoss Fuse, Red Hat JBoss A-MQ: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Daten [Linux][RedHat]

DFN-CERT-2017-1955 Red Hat JBoss Fuse, Red Hat JBoss A-MQ: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Daten [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat JBoss A-MQ < 6.3 R5 Red Hat JBoss Fuse < 6.3 R5 Betroffene Plattformen: Red Hat JBoss A-MQ Red Hat JBoss Fuse Mehrere Schwachstellen in verschiedenen Komponenten von Red Hat JBoss Fuse und Red Hat JBoss A-MQ ermöglichen einem entfernten, nicht authentisierten Angreifer die Manipulation von Dateien und einem entfernten, einfach authentisierten Angreifer einen Denial-of-Service-Angriff (DoS). Red Hat stellt für Red Hat JBoss Fuse und Red Hat JBoss A-MQ die Versionen 6.3 R5 als Sicherheitsupdates zur Verfügung. Patch: Red Hat Security Advisory RHSA-2017:3115 https://access.redhat.com/errata/RHSA-2017:3115

CVE-2015-3254: Schwachstelle in Apache Thrift ermöglicht
Denial-of-Service-Angriff

Die Client-Bibliothek in Apache Thrift ermöglicht es einem Angreifer über
nicht näher genannte Vektoren, welche die ‘skip’-Funktion einbeziehen, eine
unendliche Rekursion zu verursachen, wodurch der Programmablauf nicht
fortgeführt wird und ein Denial-of-Service (DoS)-Zustand eintritt. Ein
entfernter, einfach authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-5725: Schwachstelle in Jsch ermöglicht Manipulieren von Daten

In Jsch besteht eine Verzeichnis-Pfad-Traversal-Schwachstelle
(Directory-Traversal), wenn die Option ‘ChannelSftp.OVERWRITE’ aktiviert
ist. Ein entfernter, nicht authentisierter Angreifer kann über einen
SFTP-Server in einer Antwort auf eine rekursive GET-Anfrage beliebige
Dateien mit ‘..\’ (Punkt-Punkt-Backslash) überschreiben.

CVE-2016-9878: Schwachstelle in Spring Framework ermöglicht Directory
Traversal

Im Spring Framework existiert eine Schwachstelle aufgrund der unzureichenden
Filterung von Pfaden, die an das ResourceServlet übergeben werden. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um ohne notwendige Berechtigung auf Verzeichnisse und Dateien
zuzugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1955/

Schwachstelle CVE-2016-5725 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5725

Schwachstelle CVE-2016-9878 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9878

Schwachstelle CVE-2015-3254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3254

Red Hat Security Advisory RHSA-2017:3115:
https://access.redhat.com/errata/RHSA-2017:3115

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben