DFN-CERT-2014-1249 JBoss Enterprise Application Platform: Eine Schwachstelle ermöglicht u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

DFN-CERT-2014-1249 JBoss Enterprise Application Platform: Eine Schwachstelle ermöglicht u.a. das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss Enterprise Application Platform <= 6.3 Betroffene Plattformen: Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Durch Ausnutzen einer Schwachstelle kann ein lokaler, nicht authentifizierter Angreifer beliebigen Programmcode ausführen. Mit Red Hat JBoss Enterprise Application Platform Version 6.3.1 für RHEL 5, RHEL 6 und RHEL 7 wird diese Schwachstelle behoben. Patch: Red Hat Security Advisory RHSA-2014:1285 http://rhn.redhat.com/errata/RHSA-2014-1285.html

Patch:

Red Hat Security Advisory RHSA-2014:1286

http://rhn.redhat.com/errata/RHSA-2014-1286.html

Patch:

Red Hat Security Advisory RHSA-2014:1287

http://rhn.redhat.com/errata/RHSA-2014-1287.html

Patch:

Red Hat Security Advisory RHSA-2014:1288

http://rhn.redhat.com/errata/RHSA-2014-1288.html

CVE-2014-3558: Schwachstelle in JBoss EAP erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle wurde in der Implementierung von
“org.hibernate.validator.util.ReflectionHelper” festgestellt. Zusammen mit
der Berechtigung, den “Hibernate Validator” unterhalb des “Java Security
Managers” ausführen zu können, ermöglicht dies einer schädlichen
Applikation, welche sich in demselben Container befindet, etliche Aktionen
mit höheren Privilegien auszuführen, welches sonst durch den Java Security
Manager abgesichert wäre. Ein lokaler, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, indem er eine schädliche Applikation
einschleust, um Angriffe verschiedenster Art auszuführen, zu denen auch das
Ausführen beliebigen Programmcodes gehört.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1249/

Red Hat Security Advisory RHSA-2014:1285:
http://rhn.redhat.com/errata/RHSA-2014-1285.html

Red Hat Security Advisory RHSA-2014:1286:
http://rhn.redhat.com/errata/RHSA-2014-1286.html

Red Hat Security Advisory RHSA-2014:1287:
http://rhn.redhat.com/errata/RHSA-2014-1287.html

Red Hat Security Advisory RHSA-2014:1288:
http://rhn.redhat.com/errata/RHSA-2014-1288.html

Schwachstelle CVE-2014-3558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3558

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben