Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (31.10.2014):
Für die Distribution Fedora 21 wurde ein Sicherheitsupdate veröffentlicht.
Version 3 (29.10.2014):
Für die Distribution Fedora 20 steht ein Sicherheitsupdate zur Verfügung.
Version 2 (29.10.2014):
Red Hat hat Sicherheitsupdates für die Produkte JBoss Enterprise
Application Platform 5.2.0 und JBoss Enterprise Web Platform 5.2.0 jeweils
auf Red Hat Enterprise Linux 4, 5 und 6 bereitgestellt.
Version 1 (02.06.2014):
Neues Advisory
Betroffene Software:
XML Security for Java <= 1.5.5 RedHat JBoss Enterprise Application Platform 5.2.0 RedHat JBoss Enterprise Web Platform 5.2.0 Betroffene Plattformen: RedHat JBoss Enterprise SOA Platform 5.3.1 Red Hat Enterprise Linux 4 Red Hat Enterprise Linux 5 Red Hat Enterprise Linux 6 Red Hat Fedora 20 Red Hat Fedora 21 Durch eine Schwachstelle in Apache Santuario XML-Security für Java, welches in mehreren Red Hat JBoss Plattformen eingesetzt wird, ist es einem entfernten, nicht authentifizierten Angreifer möglich, Denial-of-Service-Angriffe durchzuführen. Patch: Red Hat Security Advisory RHSA-2014:0582 http://rhn.redhat.com/errata/RHSA-2014-0582.html
Patch:
Fedora Security Update FEDORA-2014-13879
https://admin.fedoraproject.org/updates/FEDORA-2014-13879/xml-security-1.5.7-1.fc20
Patch:
Red Hat Security Advisory RHSA-2014-1728-1
https://rhn.redhat.com/errata/RHSA-2014-1728.html
Patch:
Red Hat Security Advisory RHSA-2014:1725-1
https://rhn.redhat.com/errata/RHSA-2014-1725.html
Patch:
Red Hat Security Advisory RHSA-2014:1726-1
https://rhn.redhat.com/errata/RHSA-2014-1726.html
Patch:
Red Hat Security Advisory RHSA-2014:1727-1
https://rhn.redhat.com/errata/RHSA-2014-1727.html
Patch:
Fedora Security Update FEDORA-2014-13983
https://admin.fedoraproject.org/updates/FEDORA-2014-13983/xml-security-1.5.7-1.fc21
CVE-2013-4517: Schwachstelle in Apache Santuario XML-Security für Java
erlaubt Java XML Signature DoS
Eine Schwachstelle in der Apache Santuario XML-Security für Java vor Version
1.5.6 kann ausgenutzt werden, wenn sogenannte “Transforms” angewendet
werden. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe von
speziell gestalteten Dokumententyp-Definitionen (DTDs) diese Schwachstelle
sogar dann ausnutzen, wenn sichere Validierung mittels Signaturen verwendet
wird, um einen Denial-of-Service-Zustand herbeizuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0681/
Schwachstelle CVE-2013-4517 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4517
Red Hat Security Advisory RHSA-2014:0582:
http://rhn.redhat.com/errata/RHSA-2014-0582.html
Fedora Security Update FEDORA-2014-13879:
https://admin.fedoraproject.org/updates/FEDORA-2014-13879/xml-security-1.5.7-1.fc20
Red Hat Security Advisory RHSA-2014-1728-1:
https://rhn.redhat.com/errata/RHSA-2014-1728.html
Red Hat Security Advisory RHSA-2014:1725-1:
https://rhn.redhat.com/errata/RHSA-2014-1725.html
Red Hat Security Advisory RHSA-2014:1726-1:
https://rhn.redhat.com/errata/RHSA-2014-1726.html
Red Hat Security Advisory RHSA-2014:1727-1:
https://rhn.redhat.com/errata/RHSA-2014-1727.html
Fedora Security Update FEDORA-2014-13983:
https://admin.fedoraproject.org/updates/FEDORA-2014-13983/xml-security-1.5.7-1.fc21
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
