DFN-CERT-2015-1606 Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Request-Forgery-Angriff [Linux][RedHat]

DFN-CERT-2015-1606 Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Request-Forgery-Angriff [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss Enterprise Application Platform 6.4.3

Betroffene Plattformen:

RedHat JBoss Enterprise Application Platform 6

Zwei Schwachstellen in der Webkonsole der Red Hat JBoss Enterprise
Application Platform ermöglichen einem entfernten, nicht authentifizierten
Angreifer das Durchführen eines Denial-of-Service- und eines
Cross-Site-Request-Forgery-Angriffs. Eine weitere Schwachstelle ermöglicht
einem nicht authentifizierten Angreifer im benachbarten Netzwerk einen
Clickjacking-Angriff.

Red Hat stellt die Red Hat JBoss Enterprise Application Platform 6.4.4 für
Red Hat Enterprise Linux 5, 6 und 7 sowie ein aktualisiertes ‘
jboss-ec2-eap’-Paket zur Behebung der Schwachstellen bereit.

Patch:

Red Hat Security Advisory RHSA-2015:1904

http://rhn.redhat.com/errata/RHSA-2015-1904.html

Patch:

Red Hat Security Advisory RHSA-2015:1905

http://rhn.redhat.com/errata/RHSA-2015-1905.html

Patch:

Red Hat Security Advisory RHSA-2015:1906

http://rhn.redhat.com/errata/RHSA-2015-1906.html

Patch:

Red Hat Security Advisory RHSA-2015:1907

http://rhn.redhat.com/errata/RHSA-2015-1907.html

CVE-2015-5220: Schwachstelle in JBoss Enerprise Application Platform
ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der Webkonsole der JBoss Enterprise
Application Platform, die durch eine ungenügende Überprüfung der
Header-Längen von Anfragen hervorgerufen wird. Dies kann einen Java
OutOfMemoryError in der HTTP Management Schnittstelle auslösen, wodurch die
Applikation in einen Denial-of-Service-Zustand versetzt wird. Ein
entfernter, nicht authentifizierter Angreifer kann, durch das Versenden von
Anfragen mit großen Headern, einen Denial-of-Service-Angriff gegen eine
Webkonsole einer JBoss Enterprise Application Platform durchführen.

CVE-2015-5188: Schwachstelle in JBoss Enterprise Application Platform
ermöglicht Cross-Site-Request-Forgery-Angriff

Es existiert eine Schwachstelle in der Webkonsole der JBoss Enterprise
Application Platform, die durch einen fehlenden Sicherheitsmechanismus in
der Upload-Funktion, unter Verwendung der Multipart/Form-Data Vorlage,
hervorgerufen wird. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen und einen Cross-Site-Forgery-Angriff
durchführen, wodurch dieser in der Lage ist, Änderungen an einer
authentifizierten Instanz vorzunehmen.

CVE-2015-5178: Schwachstelle in JBoss Enterprise Application Platform
ermöglicht Clickjacking-Angriff

Es existiert eine Schwachstelle in der Webkonsole der JBoss Enterprise
Application Platform, die aufgrund einer fehlenden Sicherheitseinschränkung,
wie dem “X-Frame-Options”-Header, hervorgerufen wird. Dadurch ist es
möglich, die Webkonsole in Inlineframes einzubinden und Benutzer zu Aktionen
auf der Konsole zu verleiten (Clickjacking).
Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann einen
Clickjacking-Angriff durchführen und dadurch sensible Informationen
ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1606/

Schwachstelle CVE-2015-5178 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5178

Schwachstelle CVE-2015-5178 (Red Hat):
https://access.redhat.com/security/cve/CVE-2015-5178

Schwachstelle CVE-2015-5188 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5188

Schwachstelle CVE-2015-5188 (Red Hat):
https://access.redhat.com/security/cve/CVE-2015-5188

Schwachstelle CVE-2015-5220 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5220

Schwachstelle CVE-2015-5220 (Red Hat):
https://access.redhat.com/security/cve/CVE-2015-5220

Red Hat Security Advisory RHSA-2015:1904:
http://rhn.redhat.com/errata/RHSA-2015-1904.html

Red Hat Security Advisory RHSA-2015:1905:
http://rhn.redhat.com/errata/RHSA-2015-1905.html

Red Hat Security Advisory RHSA-2015:1906:
http://rhn.redhat.com/errata/RHSA-2015-1906.html

Red Hat Security Advisory RHSA-2015:1907:
http://rhn.redhat.com/errata/RHSA-2015-1907.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben