Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Apache Software Foundation Tomcat
Betroffene Plattformen:
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 7
Ein entfernter, nicht authentisierte Angreifer kann die Schwachstelle zum
Ausspähen von Informationen nutzen.
Patch:
Red Hat Security Advisory RHSA-2014:1034
http://rhn.redhat.com/errata/RHSA-2014-1034.html
CVE-2014-0119: Schwachstelle in Apache Tomcat erlaubt Ausspähen von
Information
Eine Schwachstelle in Apache Tomcat besteht darin, dass eine schädliche
Webapplikation unter bestimmten Umständen den XML-Parser, welcher von Tomcat
verwendet wird, um XSLT (“Extensible Stylesheet Language Transformations”) –
für das Default Servlet, JSP-Dokumente, “Tag Library Descriptors” (TLDs) und
“Tag Plugin”-Konfigurationsdateien – zu verarbeiten, gegen einen anderen
Parser austauschen kann. Ein entfernter, nicht authentisierte Angreifer
kann, mittels eines eingeschleusten XML-Parsers, die beabsichtigten
Beschränkungen für XML External Entites umgehen (wodurch weitere Angriffe
möglich werden) und/oder XML-Dateien lesen, die durch andere
Webapplikationen auf derselben Tomcat-Instanz verarbeitet werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1030/
Schwachstelle CVE-2014-0119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0119
Red Hat Security Advisory RHSA-2014:1034:
http://rhn.redhat.com/errata/RHSA-2014-1034.html
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
