Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Groovy <= 2.4.3 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle mittels eines präparierten serialisierten Objektes ausnutzen, um beliebigen Programmcode aus- oder einen Denial-of-Service-Angriff durchzuführen. Für die Distributionen Fedora 22 und Fedora 23 stehen Sicherheitsupdates im Status 'testing' zur Verfügung. Für Fedora 23 erfolgt eine Aktualisierung auf die Version 2.4.4 und für Fedora 22 steht ein Backport-Sicherheitsupdate in Form des Paketes groovy-2.4.0-2.fc22 bereit. Patch: Fedora Security Update FEDORA-2015-15899 https://bodhi.fedoraproject.org/updates/FEDORA-2015-15899

Patch:

Fedora Security Update FEDORA-2015-15907

https://bodhi.fedoraproject.org/updates/FEDORA-2015-15907

CVE-2015-3253: Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in der MethodClosure Funktion in
runtime/MethodClosure.java in Apache Groovy von Version 1.7.0 bis 2.4.3.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1425/

Schwachstelle CVE-2015-3253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3253

Fedora Security Update FEDORA-2015-15899 :
https://bodhi.fedoraproject.org/updates/FEDORA-2015-15899

Fedora Security Update FEDORA-2015-15907 :
https://bodhi.fedoraproject.org/updates/FEDORA-2015-15907

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.