UPDATE: DFN-CERT-2014-0561 Apache Struts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat][SuSE]

UPDATE: DFN-CERT-2014-0561 Apache Struts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.07.2014):
Von SUSE wurden Sicherheitsupdates für SUSE Manager Server, Manager 1.7
für SLE 11 SP2 sowie Linux Enterprise Software Development Kit 11 SP3
veröffentlicht.
Version 2 (15.05.2014):
Von Red Hat wurden Sicherheitsupdates für Red Hat Network Satellite 5.4,
5.5 und 5.6 für RHEL 6, Red Hat JBoss Fuse 6.1.0 sowie Fuse ESB Enterprise
7.1.0 veröffentlicht.
Version 1 (07.05.2014):
Neues Advisory

Betroffene Software:

Apache Software Foundation Struts <= 1.3.10 RedHat JBoss Fuse 6.1.0 RedHat Fuse ESB Enterprise 7.1.0 Betroffene Plattformen: SUSE Software Development Kit 11 SP3 Enterprise SUSE Manager Server SUSE Manager 1.7 for SLE 11 SP2 Red Hat Network Satellite 5.4 Red Hat Network Satellite 5.5 Red Hat Network Satellite 5.6 Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux Desktop 5 Workstation/Client Durch eine Schwachstelle in Apache Struts kann ein entfernter, nicht authentifizierter Angreifer beliebigen Code zur Ausführung bringen. Patch: Red Hat Security Advisory RHSA-2014:0474-1 https://rhn.redhat.com/errata/RHSA-2014-0474.html

Patch:

Red Hat Security Advisory RHSA-2014:0497

http://rhn.redhat.com/errata/RHSA-2014-0497.html

Patch:

Red Hat Security Advisory RHSA-2014:0498

http://rhn.redhat.com/errata/RHSA-2014-0498.html

Patch:

Red Hat Security Advisory RHSA-2014:0500

http://rhn.redhat.com/errata/RHSA-2014-0500.html

Patch:

SUSE Security Update: SUSE-SU-2014:0902-1

http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00008.html

CVE-2014-0114: Schwachstelle in Apache Struts

Das “ActionForm” Objekt in Apache Struts 1.x bis 1.3.10 ist fehlerhaft. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Code zu
Ausführung bringen, indem er den “Classloader” manipuliert und den Code
durch die “Class-Parameter” der “getClass” Methode einschleust.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0561/

Schwachstelle CVE-2014-0114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0114

Red Hat Security Advisory RHSA-2014:0474-1:
https://rhn.redhat.com/errata/RHSA-2014-0474.html

Red Hat Security Advisory RHSA-2014:0497:
http://rhn.redhat.com/errata/RHSA-2014-0497.html

Red Hat Security Advisory RHSA-2014:0498:
http://rhn.redhat.com/errata/RHSA-2014-0498.html

Red Hat Security Advisory RHSA-2014:0500:
http://rhn.redhat.com/errata/RHSA-2014-0500.html

SUSE Security Update: SUSE-SU-2014:0902-1:
http://lists.opensuse.org/opensuse-security-announce/2014-07/msg00008.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben