DFN-CERT-2015-1290 Apache Flex BlazeDS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

DFN-CERT-2015-1290 Apache Flex BlazeDS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (02.11.18):
Der Hersteller VMware informiert in einer überarbeiteten Fassung seines
Advisories über Sicherheitsupdates für vCloud Director. Für die Versionen
9.0.0.x steht die Version 9.0.0.3 und für die Versionen 9.1.0.x die
Version 9.1.0.2 zur Verfügung.
Version 5 (21.12.15):
Der Hersteller VMware stellt in einer überarbeiteten Fassung seines
Advisory fest, dass auch die Schwachstelle CVE-2015-5255, die einem
entfernten, nicht authentifizierten Angreifer die Durchführung eines
Cross-Site-Request-Forgery-Angriffs erlaubt, mit den Sicherheitsupdates
bereits behoben ist. Aus diesem Grund wurde die Schwachstelle auch mit in
dieses Advisory aufgenommen.
Version 4 (19.11.15):
Diese Schwachstelle wurde ursprünglich nur für Adobe LiveCycle Data
Services deklariert. Der Advisory-Text wurde jetzt auf Flex BlazeDS
verallgemeinert und entsprechend ergänzt. VMware hat diese Schwachstelle
bestätigt und stellt die folgenden Versionen als Sicherheitsupdates zur
Verfügung: VMware vCenter Server Version 5.5 Update 3, Version 5.1 Update
u3b und Version 5.0 Update u3e; vCloud Director Version 5.6.4 und Version
5.5.3; VMware Horizon View Version 6.1 und Version 5.3.4.
Version 3 (31.08.15):
Adobe informiert darüber, dass auch Adobe LiveCycle Data Services 3.1.x
von der Schwachstelle CVE-2015-3269 betroffen ist und veröffentlicht
Hotfixes Version 3.1.0.354173.
Version 2 (28.08.15):
Adobe informiert darüber, dass auch ColdFusion von der Schwachstelle
CVE-2015-3269 betroffen ist und veröffentlicht Hotfixes. Für ColdFusion 10
steht das Update 17 bereit und für ColdFusion 11 das Update 6.
Version 1 (19.08.15):
Neues Advisory

Durch Ausnutzen einer Schwachstelle in Apache Flex BlazeDS kann ein
entfernter, nicht authentisierter Angreifer Informationen ausspähen.

Adobe hat diese Schwachstelle bestätigt und stellt Sicherheitsupdates in
Form verschiedener Hotfixes für die betroffenen Versionen bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2015-1290]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben