DFN-CERT-2017-1485 Red Hat JBoss Enterprise Web Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

DFN-CERT-2017-1485 Red Hat JBoss Enterprise Web Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat JBoss Enterprise Web Server 2.1.2

Betroffene Plattformen:

Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7

Mehrere Schwachstellen in Apache Tomcat und OpenSSL, welche im Red Hat JBoss
Enterprise Web Server verwendet werden, ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das
Ausspähen von Informationen sowie die Durchführung von
Denial-of-Service-Angriffen.

Red Hat stellt für Red Hat Enterprise Linux 6 und 7 mit dem Red Hat JBoss
Web Server 2.1.2 Update 1 Sicherheitsupdates für die Komponenten ‘tomcat6’,
‘tomcat7’ und ‘openssl’ des Servers bereit.

Patch:

Red Hat JBoss Web Server 2.1.2 Update 1 Release Notes

https://access.redhat.com/articles/3155411

Patch:

Red Hat Security Advisory RHSA-2017:2493

https://access.redhat.com/errata/RHSA-2017:2493

Patch:

Red Hat Security Advisory RHSA-2017:2494

https://access.redhat.com/errata/RHSA-2017:2494

CVE-2017-5664: Schwachstelle in Apache Tomcat ermöglicht Umgehen von
Sicherheitsvorkehrungen

Apache Tomcats ‘Default Servlet’ verarbeitet Fehlerseiten, die auf einer
statischen Datei basieren, fehlerhaft, da diese nicht wie erwartet wie eine
gewöhnliche GET-Anfrage ohne Berücksichtigung der verwendeten HTTP-Methode
verarbeitet werden. In Abhängigkeit der ursprünglichen Anfrage kann dieses
zu einem unerwarteten und unerwünschten Verhalten führen, was, wenn das
Default Servlet Schreibvorgänge erlaubt, auch das Überschreiben der
Fehlerseite beinhalten kann. Ein entfernter, nicht authentisierter Angreifer
kann dadurch Sicherheitsvorkehrungen umgehen.

CVE-2017-5647: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Bei der Behandlung von zur Verarbeitung vorbereiteten Anfragen (Pipelined
Requests) existiert eine Schwachstelle, durch welche die vorbereitete
Anfrage verloren geht, sobald die Verarbeitung der vorherigen Anfrage durch
‘Send File’ abgeschlossen ist. Dadurch kann es vorkommen, dass Antworten
(Responses) auf die falsche Anfrage zurückgesendet erscheinen. Sendet ein
Benutzeragent beispielsweise die Anfragen A, B und C, sieht er in diesem
Fall die korrekte Antwort auf die Anfrage A, aber die Antwort auf die
Anfrage C erscheint als Antwort für die Anfrage B und es erfolgt keine
Antwort auf Anfrage C. Dadurch können unbeabsichtigt sensitive Informationen
offengelegt werden. Ein entfernter, nicht authentisierter Angreifer kann
diese Informationen durch einen erfolgreichen Angriff ausspähen.

Im Kontext des Oracle Critical Patch Update Advisory CPUJul2017 besteht
diese leicht ausnutzbare Schwachstelle in der Subkomponente ‘Monitoring:
Server (Apache Tomcat)’ der Komponente MySQL Enterprise Monitor in Oracle
MySQL. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle über das HTTP over TLS-Protokoll ausnutzen und lesend auf
kritische oder sämtliche der über die Komponente erreichbaren Dateien
zugreifen.

CVE-2016-8610: Schwachstelle in OpenSSL / GnuTLS ermöglicht
Denial-of-Service-Angriff

Durch die fehlerhafte Behandlung von Warnpaketen in OpenSSL / GnuTLS kann es
zur exzessiven Verwendung von CPU-Ressourcen kommen. Diese Schwachstelle ist
unter dem Namen ‘SSL-Death-Alert’ bekannt. Ein entfernter, nicht
authentifizierter Angreifer kann durch wiederholtes Versenden speziell
präparierter ‘SSL3_AL_WARNING’-Pakete während des Handshakes den
OpenSSL-Server in eine Schleife zwingen und dadurch einen Denial-of-Service
(DoS)-Zustand auslösen.

CVE-2016-6304: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von
OCSP-Anfragen. Wenn ein Client eine extrem große OCSP Status Request
Extension sendet und fortwährend eine Neuvereinbarung anfragt, wobei er
jedes Mal eine große OCSP Status Request Extension übermittelt, kommt es zu
einem unbegrenzten Speicherzuwachs auf dem Server und in der Folge
möglicherweise zu einer vollständigen Speicherausschöpfung. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Angriff durchzuführen. Server mit
Default-Konfiguration sind verwundbar, selbst wenn sie kein OCSP
unterstützen. Builds mit “no-ocsp” Build Time Option sind dagegen nicht
betroffen, ebenso wenig Server, die OpenSSL Versionen vor 1.0.1g in
Default-Konfiguration verwenden, es sei denn eine Anwendung ermöglicht
explizit OCSP Stapling Support.

Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1485/

Schwachstelle CVE-2016-6304 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6304

Schwachstelle CVE-2016-8610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8610

Schwachstelle CVE-2017-5647 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5647

Schwachstelle CVE-2017-5664 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5664

Red Hat JBoss Web Server 2.1.2 Update 1 Release Notes:
https://access.redhat.com/articles/3155411

Red Hat Security Advisory RHSA-2017:2493:
https://access.redhat.com/errata/RHSA-2017:2493

Red Hat Security Advisory RHSA-2017:2494:
https://access.redhat.com/errata/RHSA-2017:2494

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben