Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
RedHat jBoss Enterprise SOA Platform <= 5.3.1 Betroffene Plattformen: Red Hat Linux Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um XML-Signaturen zu fälschen oder Cross-Site-Request-Forgery-Angriffe durchzuführen und damit die Verfügbarkeit, Vertraulichkeit und Integrität des Systems zu beeinträchtigen. Patch: Red Hat Security Advisory RHSA-2014-0212 http://rhn.redhat.com/errata/RHSA-2014-0212.html
CVE-2013-4152: Schwachstelle im Spring Framework (libspring-java Package)
Eine Schwachstelle im Spring Framework (libspring-java Package) ermöglicht
XML External Entity (XXE)-Injektion. XML External Entity (XXE)-Injektion im
Spring Framework kann von einem entfernten, nicht authentifizierten
Angreifer ausgenutzt werden, um Cross-Site-Request-Forgery und
Denial-of-Service-Attacken durchzuführen.
CVE-2013-2172: Bibliothek Apache Santuario XML Security unterstützt
unsicheren Signatur-Algorithmus
In der Bibliothek Apache Santuario XML Security existiert eine
Schwachstelle. Der Parameter CanonicalizationMethod ermöglicht es, einen
unsicheren Algorithmus für den SignedInfo-Teil der Signatur anzugeben. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um eine XML-Signatur zu fälschen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0243/
Schwachstelle CVE-2013-2172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2172
Schwachstelle CVE-2013-4152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4152
Red Hat Security Advisory RHSA-2014-0212:
http://rhn.redhat.com/errata/RHSA-2014-0212.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
