UPDATE: DFN-CERT-2014-0128 Red Hat JBoss Fuse Service Works: Eine Schwachstelle ermöglicht die Ausführung beliebiger Befehle [Linux][RedHat]

UPDATE: DFN-CERT-2014-0128 Red Hat JBoss Fuse Service Works: Eine Schwachstelle ermöglicht die Ausführung beliebiger Befehle [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.02.2014):
Redhat hat weitere Patches für seine Produkte zur Verwaltung von
Geschäftsprozessen bereitgestellt.
Version 1 (31.01.2014):
Neues Advisory

Betroffene Software:

Apache Camel <= 2.12.0 Betroffene Plattformen: RedHat jBoss BPMS 6.0.0 RedHat jBoss BRMS 6.0.0 RedHat JBoss Fuse Service Works 6.0 Red Hat Linux Eine Schwachstelle ermöglicht einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebiger Befehle. Patch: Red Hat Security Advisory RHSA-2014-0124 http://rhn.redhat.com/errata/RHSA-2014-0124.html

Patch:

Red Hat Security Advisory RHSA-2014-0140

http://rhn.redhat.com/errata/RHSA-2014-0140.html

CVE-2013-4330: Apache Camel

Apache Camel enthält einen Fehler beim Parsen des FILE_NAME-Headers. Dies
ermöglicht einem entfernten Angreifer durch das Einfügen von “$simple{}” in
den FILE_NAME-Header beliebige Expression Language (EL) Ausdrücke zur
Ausführung zu bringen. Dadurch kann es ihm möglich sein, beliebige Befehle
auf dem Server auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0128/

Schwachstelle CVE-2013-4330 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4330

Red Hat Security Advisory RHSA-2014-0124:
http://rhn.redhat.com/errata/RHSA-2014-0124.html

Red Hat Security Advisory RHSA-2014-0140:
http://rhn.redhat.com/errata/RHSA-2014-0140.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben