Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss Fuse 6.1.0
RedHat Fuse ESB Enterprise 7.1.0

Betroffene Plattformen:

Red Hat Linux

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle zur
Ausführung beliebigen Programmcodes ausnutzen.

Patch:

Red Hat Security Advisory RHSA-2014:1170

http://rhn.redhat.com/errata/RHSA-2014-1170.html

Patch:

Red Hat Security Advisory RHSA-2014:1171

http://rhn.redhat.com/errata/RHSA-2014-1171.html

CVE-2014-3120: Schwachstelle ermöglicht die Ausführung beliebigen
Programmcodes

Der Such- und Analyse-Server ElasticSearch enthält eine Schwachstelle, die,
bei Verwendung der Standardkonfiguration, dynamisches Scripting erlaubt und
die Ausführung von beliebigen MVEL-Ausdrücken oder Java-Programmcode, bei
Übergabe des Parameters “_search”, ermöglicht. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle zur Ausführung beliebigen
Programmcodes ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1188/

Schwachstelle CVE-2014-3120 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3120

Red Hat Security Advisory RHSA-2014:1170:
http://rhn.redhat.com/errata/RHSA-2014-1170.html

Red Hat Security Advisory RHSA-2014:1171:
http://rhn.redhat.com/errata/RHSA-2014-1171.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.