UPDATE: DFN-CERT-2014-0561 Apache Struts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

UPDATE: DFN-CERT-2014-0561 Apache Struts: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (15.05.2014):
Von Red Hat wurden Sicherheitsupdates für Red Hat Network Satellite 5.4,
5.5 und 5.6 für RHEL 6, Red Hat JBoss Fuse 6.1.0 sowie Fuse ESB Enterprise
7.1.0 veröffentlicht.
Version 1 (07.05.2014):
Neues Advisory

Betroffene Software:

Apache Software Foundation Struts <= 1.3.10 RedHat JBoss Fuse 6.1.0 RedHat Fuse ESB Enterprise 7.1.0 Betroffene Plattformen: Red Hat Network Satellite 5.4 Red Hat Network Satellite 5.5 Red Hat Network Satellite 5.6 Red Hat Enterprise Linux 5 Server Red Hat Enterprise Linux Desktop 5 Workstation/Client Durch eine Schwachstelle in Apache Struts kann ein entfernter, nicht authentifizierter Angreifer beliebigen Code zur Ausführung bringen. Patch: Red Hat Security Advisory RHSA-2014:0474-1 https://rhn.redhat.com/errata/RHSA-2014-0474.html

Patch:

Red Hat Security Advisory RHSA-2014:0497

http://rhn.redhat.com/errata/RHSA-2014-0497.html

Patch:

Red Hat Security Advisory RHSA-2014:0498

http://rhn.redhat.com/errata/RHSA-2014-0498.html

Patch:

Red Hat Security Advisory RHSA-2014:0500

http://rhn.redhat.com/errata/RHSA-2014-0500.html

CVE-2014-0114: Schwachstelle in Apache Struts

Das “ActionForm” Objekt in Apache Struts 1.x bis 1.3.10 ist fehlerhaft. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Code zu
Ausführung bringen, indem er den “Classloader” manipuliert und den Code
durch die “Class-Parameter” der “getClass” Methode einschleust.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0561/

Schwachstelle CVE-2014-0114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0114

Red Hat Security Advisory RHSA-2014:0474-1:
https://rhn.redhat.com/errata/RHSA-2014-0474.html

Red Hat Security Advisory RHSA-2014:0497:
http://rhn.redhat.com/errata/RHSA-2014-0497.html

Red Hat Security Advisory RHSA-2014:0498:
http://rhn.redhat.com/errata/RHSA-2014-0498.html

Red Hat Security Advisory RHSA-2014:0500:
http://rhn.redhat.com/errata/RHSA-2014-0500.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben