DFN-CERT-2013-2088 Red Hat JBoss Web Framework Kit: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2013-2088 Red Hat JBoss Web Framework Kit: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Solr <= 4.5.1 Red Hat JBoss Web Framework Kit < 2.4.0 Betroffene Plattformen: Red Hat Linux Mehrere Schwachstellen im Zusammenhang mit Apache Solr und JBoss ermöglichen es einen entfernten, nicht authentifizierten Angreifer lokale Dateien auszulesen oder beliebige Befehle im Kontext des Servers auszuführen. Patch: Red Hat Security Advisory RHSA-2013-1844 http://rhn.redhat.com/errata/RHSA-2013-1844.html

CVE-2013-6408: Schwachstelle in Apache Solr

Eine Schwachstelle in der Funktion DocumentAnalysisRequestHandler löst
externe Objekte auf und kann zu ‘XML eXternal Entity (XXE)’ Angriffen
führen. Ein entfernter, nicht authentifizierter Angreifer kann durch das
Ausnutzen dieser Schwachstelle, Dateien lesen, die für den Benutzer, unter
dessen Benutzerkennung der Anwendungsserver läuft, zugreifbar sind.

CVE-2013-6407: Schwachstelle in Apache Solr

Eine Schwachstelle in der Funktion UpdateRequestHandler bei der Behandlung
von XML und XSLT kann zur Aufdeckung von ‘XML eXternal Entity (XXE)’ führen.
Ein entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen
dieser Schwachstelle, Dateien lesen, die für den Benutzer, unter dessen
Benutzerkennung der Anwendungsserver läuft, zugreifbar sind.

CVE-2013-6397: Schwachstelle in Apache Solr

Die Klasse SolrResourceLoader erlaubt das Laden von Resourcen sowohl per
absoluten wie auch per relativen Pfad, wobei der eingegebene Pfad nicht
gesäubert wird und eine Verzeichnis-Traversierung ermöglicht. Ein
entfernter, nicht authentifizierter Angreifer kann durch Ausnutzung der
Schwachstelle lokale Dateien auslesen oder beliebige Befehle ausführen.

CVE-2012-6612: Schwachstelle in Apache Solr

Eine Schwachstelle in der Funktion UpdateRequestHandler bei der Behandlung
von XML und XSLT kann zur Aufdeckung von ‘XML eXternal Entity (XXE)’ führen.
Ein entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen
dieser Schwachstelle, Dateien lesen, die für den Benutzer, unter dessen
Benutzerkennung der Anwendungsserver läuft, zugreifbar sind.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2088/

Schwachstelle CVE-2012-6612 (Red Hat):
https://access.redhat.com/security/cve/CVE-2012-6612

Schwachstelle CVE-2013-6407 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6407

Schwachstelle CVE-2013-6408 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6408

Schwachstelle CVE-2013-6397 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6397

Schwachstelle CVE-2013-6397 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6397

Schwachstelle CVE-2012-6612 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6612

Schwachstelle CVE-2013-6407 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6407

Schwachstelle CVE-2013-6408 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6408

Red Hat Security Advisory RHSA-2013-1844:
http://rhn.redhat.com/errata/RHSA-2013-1844.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben