DFN-CERT-2013-1326 Schwachstelle in Openjpa [Linux][Fedora]

DFN-CERT-2013-1326 Schwachstelle in Openjpa [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openjpa

Betroffene Plattformen:

Fedora 17
Fedora 18
Fedora 19

Eine Schwachstelle in Apache OpenJPA erlaubt es entfernten Angreifern,
beliebigen Code auf dem Server auszuführen.

Apache OpenJPA ist eine Implementierung des Sun Java Persistence 2.0 API.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-1768: Schwachstelle in Apache OpenJPA

In Apache OpenJPA vor Version 1.2.3 bzw. 2.2.2 werden bei der
Deserialisierung von OpenJPA Objekten lokal ausführbare Dateien mit Logging
Trace Daten angelegt. Entfernte Angreifer können diese Schwachstelle dazu
ausnutzen, beliebigen Code auf dem Server auszuführen, wenn es ihnen gelingt
aus diese Daten über unzureichend gesicherte Serverprogramme zuzugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1326/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112029.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112024.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112055.html

Schwachstelle CVE-2013-1768:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1768

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben