Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (29.10.2013):
Die Schwachstelle besteht auch openSUSE 11.4 und wurde jetzt behoben.
Version 3 (25.10.2013):
Update für JBoss Operations Network 3.1.2 verfügbar
Version 2 (23.10.2013):

Für OpenSuSE 12.2 und 12.3 werden jetzt Updates zur Verfügung gestellt.
Version 1 (16.10.2013):
Neues Advisory

Betroffene Software:

RedHat jBoss Enterprise Portal Platform <= 4.3.0 Cp07 RedHat jBoss Enterprise Portal Platform <= 5.2.2 RedHat jBoss Enterprise Portal Platform <= 6.0.0 RedHat jBoss Enterprise Web Server <= 1.0.2 RedHat jBoss Operations Network <= 3.1.2 openSUSE <= 11.4 openSUSE <= 12.2 openSUSE <= 12.3 Betroffene Plattformen: Linux RedHat SuSE Eine Schwachstelle in der RedHat jBoss Enterprise Portal Platform und im RedHat jBoss Enterprise Web Server ermöglicht einem entfernten Angreifer das Ausführen von beliebigem Programmcode. Für OpenSuSE 12.2 und 12.3 werden jetzt Updates zur Verfügung gestellt. JBoss Operations Network 3.1.2 ebenfalls betroffen. Update: Die Schwachstelle ist auch in openSUSE 11.4 behoben. Patch: Red Hat Security Advisory RHSA-2013-1428 http://rhn.redhat.com/errata/RHSA-2013-1428.html

Patch:

Hersteller Advisory openSUSE-SU-2013:1571-1

http://lists.opensuse.org/opensuse-updates/2013-10/msg00033.html

Patch:

Red Hat Security Advisory RHSA-2013-1448

http://rhn.redhat.com/errata/RHSA-2013-1448.html

Patch:

openSUSE Security Update openSUSE-SU-2013:1596-1

http://lists.opensuse.org/opensuse-updates/2013-10/msg00050.html

CVE-2013-2186: Schwachstelle in JBoss Enterprise Portal Platform und Web
Server

Die JBoss Enterprise Portal Platform und der JBoss Enterprise Web Server
enthalten in der Implementierung der DiskFileItem-Klasse des Apache
commons-fileupload bei der Deserialisierung einer Instanz eine
Schwachstelle. Diese Schwachstelle ermöglicht einem entfernten Angreifer
durch das Senden einer serialisierten Instanz der DiskFileItem-Klasse an
Server beliebige Daten mit den Rechten des Servers auf das Dateisystem zu
schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1789/

Red Hat Security Advisory RHSA-2013-1428:
http://rhn.redhat.com/errata/RHSA-2013-1428.html

Schwachstelle CVE-2013-2186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2186

Hersteller Advisory openSUSE-SU-2013:1571-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00033.html

Red Hat Security Advisory RHSA-2013-1448:
http://rhn.redhat.com/errata/RHSA-2013-1448.html

openSUSE Security Update openSUSE-SU-2013:1596-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00050.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (25.10.2013):
Update für JBoss Operations Network 3.1.2 verfügbar
Version 2 (23.10.2013):

Für OpenSuSE 12.2 und 12.3 werden jetzt Updates zur Verfügung gestellt.
Version 1 (16.10.2013):
Neues Advisory

Betroffene Software:

RedHat jBoss Enterprise Portal Platform <= 4.3.0 Cp07 RedHat jBoss Enterprise Portal Platform <= 5.2.2 RedHat jBoss Enterprise Portal Platform <= 6.0.0 RedHat jBoss Enterprise Web Server <= 1.0.2 RedHat jBoss Operations Network <= 3.1.2 openSUSE <= 12.2 openSUSE <= 12.3 Betroffene Plattformen: Linux RedHat SuSE Eine Schwachstelle in der RedHat jBoss Enterprise Portal Platform und im RedHat jBoss Enterprise Web Server ermöglicht einem entfernten Angreifer das Ausführen von beliebigem Programmcode. Für OpenSuSE 12.2 und 12.3 werden jetzt Updates zur Verfügung gestellt. Update: JBoss Operations Network 3.1.2 ebenfalls betroffen. Patch: Red Hat Security Advisory RHSA-2013-1428 http://rhn.redhat.com/errata/RHSA-2013-1428.html

Patch:

Hersteller Advisory openSUSE-SU-2013:1571-1

http://lists.opensuse.org/opensuse-updates/2013-10/msg00033.html

Patch:

Red Hat Security Advisory RHSA-2013-1448

http://rhn.redhat.com/errata/RHSA-2013-1448.html

CVE-2013-2186: Schwachstelle in JBoss Enterprise Portal Platform und Web
Server

Die JBoss Enterprise Portal Platform und der JBoss Enterprise Web Server
enthalten in der Implementierung der DiskFileItem-Klasse des Apache
commons-fileupload bei der Deserialisierung einer Instanz eine
Schwachstelle. Diese Schwachstelle ermöglicht einem entfernten Angreifer
durch das Senden einer serialisierten Instanz der DiskFileItem-Klasse an
Server beliebige Daten mit den Rechten des Servers auf das Dateisystem zu
schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1789/

Red Hat Security Advisory RHSA-2013-1428:
http://rhn.redhat.com/errata/RHSA-2013-1428.html

Schwachstelle CVE-2013-2186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2186

Hersteller Advisory openSUSE-SU-2013:1571-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00033.html

Red Hat Security Advisory RHSA-2013-1448:
http://rhn.redhat.com/errata/RHSA-2013-1448.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.10.2013):

Für OpenSuSE 12.2 und 12.3 werden jetzt Updates zur Verfügung gestellt.
Version 1 (16.10.2013):
Neues Advisory

Betroffene Software:

RedHat jBoss Enterprise Portal Platform <= 4.3.0 Cp07 RedHat jBoss Enterprise Portal Platform <= 5.2.2 RedHat jBoss Enterprise Portal Platform <= 6.0.0 RedHat jBoss Enterprise Web Server <= 1.0.2 openSUSE <= 12.2 openSUSE <= 12.3 Betroffene Plattformen: Linux RedHat SuSE Eine Schwachstelle in der RedHat jBoss Enterprise Portal Platform und im RedHat jBoss Enterprise Web Server ermöglicht einem entfernten Angreifer das Ausführen von beliebigem Programmcode. Patch: Red Hat Security Advisory RHSA-2013-1428 http://rhn.redhat.com/errata/RHSA-2013-1428.html

Patch:

Hersteller Advisory openSUSE-SU-2013:1571-1

http://lists.opensuse.org/opensuse-updates/2013-10/msg00033.html

CVE-2013-2186: Schwachstelle in JBoss Enterprise Portal Platform und Web
Server

Die JBoss Enterprise Portal Platform und der JBoss Enterprise Web Server
enthalten in der Implementierung der DiskFileItem-Klasse des Apache
commons-fileupload bei der Deserialisierung einer Instanz eine
Schwachstelle. Diese Schwachstelle ermöglicht einem entfernten Angreifer
durch das Senden einer serialisierten Instanz der DiskFileItem-Klasse an
Server beliebige Daten mit den Rechten des Servers auf das Dateisystem zu
schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1789/

Red Hat Security Advisory RHSA-2013-1428:
http://rhn.redhat.com/errata/RHSA-2013-1428.html

Schwachstelle CVE-2013-2186 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2186

Hersteller Advisory openSUSE-SU-2013:1571-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00033.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.