DFN-CERT-2014-0359 Red Hat JBoss Fuse/A-MQ: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2014-0359 Red Hat JBoss Fuse/A-MQ: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss A-MQ <= 6.0.0 RedHat JBoss Fuse <= 6.0.0 Betroffene Plattformen: Red Hat Linux Mehrere Schwachstellen in XStream, bzw. in der XSLT-Komponente von Apache Camel ermöglichen entfernten Angreifern das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes. Red Hat stellt Sicherheitsupdates für Red Hat JBoss Fuse und A-MQ zur Verfügung, welche diese Schwachstellen beheben. Patch: Red Hat Security Advisory RHSA-2014-0323 http://rhn.redhat.com/errata/RHSA-2014-0323.html

CVE-2014-0003: Schwachstelle in Apache Camel XSLT-Komponente

Eine Schwachstelle besteht in der XSLT-Komponente in Apache Camel. Ein
entfernter, nicht authentisierter Angreifer kann dieser Schwachstelle
ausnutzen, um mittels einer präparierten Nachricht beliebige Jave-Methoden
zur Ausführung zu bringen.

CVE-2014-0002: Schwachstelle in Apache Camel XSLT-Komponente

Eine Schwachstelle besteht in der XSLT-Komponente in Apache Camel. Ein
entfernter, nicht authentisierter Angreifer kann dieser Schwachstelle
ausnutzen, um beliebige Dateien zu lesen und möglicherweise über ein
XML-Dokument, welches Deklarationen für externe Entitäten enthält, in
Verbindung mit einer Referenz auf diese Entitäten, weitere nicht
spezifizierte Angriffe ausführen (XML External Entity (XXE)-Schwachstelle).

CVE-2013-7285: Schwachstelle in XStream

Eine Schwachstelle in XStream wandelt beliebigen, von Benutzern
bereitgestellten XML-Inhalt in Objekte jeden Typs um. Ein entfernter, nicht
authentifizierter Angreifer kann durch präparierten XML-Inhalt beliebige
Befehle mit den Rechten des Dienstes ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0359/

Schwachstelle CVE-2013-7285 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7285

Schwachstelle CVE-2014-0003 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0003

Schwachstelle CVE-2014-0002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0002

Red Hat Security Advisory RHSA-2014-0323:
http://rhn.redhat.com/errata/RHSA-2014-0323.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben