DFN-CERT-2014-0083 JBoss Web Framework Kit: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT-2014-0083 JBoss Web Framework Kit: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat JBoss Web Framework Kit <= 2.4.0 Betroffene Plattformen: Red Hat JBoss Web Framework Kit Mehrere Schwachstellen in der Komponente 'Seam Remoting' von JBoss ermöglichen es einem entfernten, nicht authentifizierten Angreifer sensitive Informationen über den Server zu erlangen. Patch: Red Hat Security Advisory RHSA-2014-0045 http://rhn.redhat.com/errata/RHSA-2014-0045.html

CVE-2013-6448: Schwachstelle in JBoss Web Framework

Eine Schwachstelle im InterfaceGenerator in JBoss Seam Remoting führt dazu,
dass Details über alle Klassen und Methoden innerhalb des Classpath
veröffentlicht werden und nicht nur Methoden mit der Notation
org.jboss.seam.annotations.remoting.WebRemote.
Ein entfernter, nicht authentifizierter Angreifer kann durch diese
Schwachstelle herausfinden, welche Klassen auf dem JBoss Server eingesetzt
werden.

CVE-2013-6447: Schwachstelle in JBoss Web Framework

Eine Schwachstelle in der Behandlung von benutzerdefinierten XML Quellen im
Zusammenhang mit ExecutionHandler, PollHandler, und SubscriptionHandler
Klassen in JBoss Seam Remoting führt dazu, dass externe Elemente in XML
Quellen aufgelöst werden.
Ein entfernter, nicht authentifizierter Angreifer kann durch präparierte XML
Quellen, Dateien lesen auf die der Benutzer, in dessen Kontext der
Anwendungsserver läuft, Zugriff hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0083/

Schwachstelle CVE-2013-6447 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6447

Schwachstelle CVE-2013-6448 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-6448

Schwachstelle CVE-2013-6448 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6448

Schwachstelle CVE-2013-6447 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6447

Red Hat Security Advisory RHSA-2014-0045:
http://rhn.redhat.com/errata/RHSA-2014-0045.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben