Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat jBoss Enterprise Portal Platform <= 4.3.0 RedHat jBoss Enterprise SOA Platform <= 4.3.0 Betroffene Plattformen: Linux RedHat UNIX Ein entfernter, nicht authentisierter Angreifer kann durch die Schwachstelle den über Web-Services ausgetauschten symmetrischen Schlüssel in Erfahrung bringen und damit Zugriff auf die übertragenen, vertraulichen Daten erhalten. Workaround: Bei betroffenen Instanzen kann durch Wechsel des Krypto-Verfahrens, das zum Schutz des symmetrischen Schlüssels eingesetzt wird, die Sicherheitslücke vermieden werden. Hierzu muss der RSA-OAEP Key Wrap Algorithmus anstelle des Standardverfahrens RSA-v1.5 eingesetzt werden. Dies geschieht durch Editieren der Konfigurationsdatei jboss-ws-security und Hinzufügen der Eigenschaft: keyWrapAlgorithm="rsa_oaep". Patch: Red Hat Security Advisory RHSA-2013-1757 http://rhn.redhat.com/errata/RHSA-2013-1757.html

CVE-2011-2487: JBoss Web-Services erlauben Zugriff auf kritische Daten

Die für die XML-Verschlüsselung genutzten symmetrischen Schlüssel werden bei
Web-Services vorab geschützt durch eine Verschlüsselung mit
Public-Key-Verfahren zwischen Client und Server übertragen. JBoss
Web-Services erlauben einen sogenannten Bleichenbacher-Angriff über einen
Seitenkanal auf diese Übertragung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1981/

Schwachstelle CVE-2011-2487 (RedHat):
https://www.redhat.com/security/data/cve/CVE-2011-2487.html

Red Hat Security Advisory RHSA-2013-1757:
http://rhn.redhat.com/errata/RHSA-2013-1757.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.