DFN-CERT-2016-1161 JBoss Enterprise Application Platform: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT-2016-1161 JBoss Enterprise Application Platform: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat JBoss Enterprise Application Platform 6.4 EL6
RedHat JBoss Enterprise Application Platform 6.4 EL7
RedHat JBoss Enterprise Application Platform <= 6.4.8 EL6 RedHat JBoss Enterprise Application Platform <= 6.4.8 EL7 Betroffene Plattformen: Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Ein entfernter, nicht authentifizierter Angreifer kann zwei Schwachstellen im JGroups-Framework, bzw. im Tomcat sowie JBoss Web RequestUtil.java ausnutzen, um Sicherheitsvorkehrungen zu umgehen und Nachrichten innerhalb des Clusters unautorisiert zu senden und zu empfangen, wodurch das Ausspähen von Informationen, das Fälschen von Nachrichten und in der Folge weitere Angriffe möglich sind, bzw. beabsichtigte SecurityManager-Beschränkungen umgehen, wodurch ebenfalls Informationen ausgespäht werden können. Red Hat stellt für die JBoss Enterprise Application Platform 6.4 auf Red Hat Enterprise Linux (RHEL) 6 und 7 Sicherheitsupdates sowie die JBoss Enterprise Application Platform 6.4.9 zur Verfügung. Die Schwachstelle CVE-2016-2141 wird als kritisch eingestuft. Patch: Red Hat Security Advisory RHSA-2016:1432 http://rhn.redhat.com/errata/RHSA-2016-1432.html

Patch:

Red Hat Security Advisory RHSA-2016:1433

http://rhn.redhat.com/errata/RHSA-2016-1433.html

Patch:

Red Hat Security Advisory RHSA-2016:1434

http://rhn.redhat.com/errata/RHSA-2016-1434.html

Patch:

Red Hat Security Advisory RHSA-2016:1435

http://rhn.redhat.com/errata/RHSA-2016-1435.html

CVE-2016-2141: Schwachstelle in Red Hat JBoss Enterprise Application
Platform ermöglicht u.a. Ausspähen von Informationen

Das JGroups Framework stellt die Funktionalität zur
Peer-to-Peer-Kommunikation zwischen Knoten (Nodes) in einem JBoss-Cluster
zur Verfügung. Es besteht eine Schwachstelle in JGroups, da die zur
Verschlüsselung und Authentifizierung notwendigen Kopfdaten von neuen Nodes
im Cluster nicht angefordert werden.

CVE-2015-5174: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf Ressourcen durch die Funktionen ‘ getResource()’,
‘getResourceAsStream()’ und ‘ getResourcePaths()’ aus ‘ServletContext’
werden bestimmte relative Pfadangaben als Parameter nicht zurückgewiesen.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager (Security Manager) läuft,
den Inhalt des Verzeichnisses, in dem die angegriffene Web-Anwendung
erstellt wurde, ermitteln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1161/

Schwachstelle CVE-2015-5174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5174

Schwachstelle CVE-2016-2141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2141

Red Hat Security Advisory RHSA-2016:1432:
http://rhn.redhat.com/errata/RHSA-2016-1432.html

Red Hat Security Advisory RHSA-2016:1433:
http://rhn.redhat.com/errata/RHSA-2016-1433.html

Red Hat Security Advisory RHSA-2016:1434:
http://rhn.redhat.com/errata/RHSA-2016-1434.html

Red Hat Security Advisory RHSA-2016:1435:
http://rhn.redhat.com/errata/RHSA-2016-1435.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben