Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (10.05.19):
Red Hat veröffentlicht Red Hat Single Sign-On 7.3.1 zur Behebung der
Schwachstellen. Hier wird zusätzlich eine Schwachstelle in keycloak
adressiert, die einem entfernten, einfach authentifizierten Angreifer die
Eskalation seiner Privilegien ermöglicht.
Version 1 (09.05.19):
Neues Advisory

Mehrere Schwachstellen in der Komponente jackson-databind und eine in der
Komponente Undertow ermöglichen einem entfernten, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes, die Durchführung eines
Server-Side-Request-Forgery-Angriffs und das Ausspähen von Informationen.
Zwei weitere Schwachstellen in der Komponente wildfly ermöglichen einem
entfernten, einfach authentisierten Angreifer das Umgehen von
Sicherheitsvorkehrungen und einem lokalen, nicht authentisierten Angreifer
einen Denial-of-Service (DoS)-Angriff.

Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für Red Hat
JBoss Application Platform auf Version 7.2.1 bereit, um die Schwachstellen
zu beheben. Der JBoss Server-Prozess muss im Anschluss an das Update neu
gestartet werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0925]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html