Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (15.05.2015):
Für das Red Hat JBoss Portal 6.2.0 steht ein Sicherheitsupdate bereit.
Version 3 (16.09.2014):
Für verschiedene Red Hat Enterprise Linux 5 und 6 Produkte stehen
Sicherheitsupdates bereit.
Version 2 (03.09.2014):
RedHat hat Sicherheitsupdates für das Red Hat Developer Toolset 2 für RHEL
6 veröffentlicht.
Version 1 (27.08.2014):
Neues Advisory

Betroffene Software:

Apache Software Foundation Axis <= 1.4 Red Hat Developer Toolset 2 2 RHEL6 Betroffene Plattformen: RedHat JBoss Enterprise Portal Platform 6.2.0 GNU/Linux Red Hat Enterprise Linux 6 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Workstation 6 Es wurde festgestellt, dass der Fix für die Schwachstelle CVE-2012-5784 unvollständig war. Der Code, welcher ergänzt wurde, um die Übereinstimmung des Hostnamens eines Servers mit dessen Zertifikat zu überprüfen, war fehlerhaft. Durch Ausnutzen dieser Schwachstelle ist es einem entfernten, nicht authentisierten Angreifer, mittels eines präparierten, aber gültigen Zertifikates möglich, einen Man-in-Middle-Angriff durchzuführen. Patch: RedHat Security Advisory RHSA-2014:1123 http://rhn.redhat.com/errata/RHSA-2014-1123.html

Patch:

Red Hat Security Advisory RHSA-2014:1193

http://rhn.redhat.com/errata/RHSA-2014-1193.html

Patch:

Red Hat Security Advisory RHSA-2015:1010

http://rhn.redhat.com/errata/RHSA-2015-1010.html

CVE-2014-3596: Schwachstelle in Apache Axis aufgrund eines unvollständigen
Fixes

Eine Schwachstelle in der Funktion “getCN” in Apache Axis 1.4 und früher
besteht darin, dass diese Funktion nicht korrekt überprüft, ob der Hostname
eines Servers entweder mit einem Domain-Namen im Common Name (CN)-Feld des
Certificate Subjects oder alternativ mit einem Domain-Namen im
“subjectAltName”-Feld des X.509-Zertifikates übereinstimmt. Diese
Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer, als
Man-in-the-Middle, mittels eines Zertifikates mit einem Certificate Subject,
welches einen “Common Name” angibt in einem Feld, welches nicht das CN-Feld
ist, SSL-Server zu spoofen, d.h. eine falsche Server-Identität
vorzutäuschen. Hierdurch werden weitere Angriffe möglich. Die Schwachstelle
besteht aufgrund eines unvollständigen Fixes für CVE-2012-5784.

CVE-2012-5784: Schwachstelle in Apache Axis

Eine Schwachstelle im Apache Axis 1.4 und früher versäumt es, den Hostnamen
eines Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN)
des X.509-Zertifikats zu vergleichen.
Einem entfernten Angreifer ist es mittels eines beliebigen, aber gültigen
Zertifikats möglich, einen Man-in-the-Middle-Angriff durchzuführen.

CVE-2012-5784: Schwachstelle in Apache Axis

Eine Schwachstelle im Apache Axis 1.4 und früher versäumt es, den Hostnamen
eines Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN)
des X.509-Zertifikats zu vergleichen.
Einem entfernten Angreifer ist es mittels eines beliebigen, aber gültigen
Zertifikats möglich, einen Man-in-the-Middle-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1122/

Schwachstelle CVE-2012-5784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5784

Apache Security Notice AXIS-2905:
https://issues.apache.org/jira/browse/AXIS-2905

Schwachstelle CVE-2014-3596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3596

RedHat Security Advisory RHSA-2014:1123:
http://rhn.redhat.com/errata/RHSA-2014-1123.html

Red Hat Security Advisory RHSA-2014:1193:
http://rhn.redhat.com/errata/RHSA-2014-1193.html

Red Hat Security Advisory RHSA-2015:1010:
http://rhn.redhat.com/errata/RHSA-2015-1010.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.09.2014):
Für verschiedene Red Hat Enterprise Linux 5 und 6 Produkte stehen
Sicherheitsupdates bereit.
Version 2 (03.09.2014):
RedHat hat Sicherheitsupdates für das Red Hat Developer Toolset 2 für RHEL
6 veröffentlicht.
Version 1 (27.08.2014):
Neues Advisory

Betroffene Software:

Apache Software Foundation Axis <= 1.4 Red Hat Developer Toolset 2 2 RHEL6 Betroffene Plattformen: GNU/Linux Red Hat Enterprise Linux 6 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 5 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Workstation 6 Es wurde festgestellt, dass der Fix für die Schwachstelle CVE-2012-5784 unvollständig war. Der Code, welcher ergänzt wurde, um die Übereinstimmung des Hostnamens eines Servers mit dessen Zertifikat zu überprüfen, war fehlerhaft. Durch Ausnutzen dieser Schwachstelle ist es einem entfernten, nicht authentisierten Angreifer, mittels eines präparierten, aber gültigen Zertifikates möglich, einen Man-in-Middle-Angriff durchzuführen. Patch: RedHat Security Advisory RHSA-2014:1123 http://rhn.redhat.com/errata/RHSA-2014-1123.html

Patch:

Red Hat Security Advisory RHSA-2014:1193

http://rhn.redhat.com/errata/RHSA-2014-1193.html

CVE-2014-3596: Schwachstelle in Apache Axis aufgrund eines unvollständigen
Fixes

Eine Schwachstelle in der Funktion “getCN” in Apache Axis 1.4 und früher
besteht darin, dass diese Funktion nicht korrekt überprüft, ob der Hostname
eines Servers entweder mit einem Domain-Namen im Common Name (CN)-Feld des
Certificate Subjects oder alternativ mit einem Domain-Namen im
“subjectAltName”-Feld des X.509-Zertifikates übereinstimmt. Diese
Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer, als
Man-in-the-Middle, mittels eines Zertifikates mit einem Certificate Subject,
welches einen “Common Name” angibt in einem Feld, welches nicht das CN-Feld
ist, SSL-Server zu spoofen, d.h. eine falsche Server-Identität
vorzutäuschen. Hierdurch werden weitere Angriffe möglich. Die Schwachstelle
besteht aufgrund eines unvollständigen Fixes für CVE-2012-5784.

CVE-2012-5784: Schwachstelle in Apache Axis

Eine Schwachstelle im Apache Axis 1.4 und früher versäumt es, den Hostnamen
eines Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN)
des X.509-Zertifikats zu vergleichen.
Einem entfernten Angreifer ist es mittels eines beliebigen, aber gültigen
Zertifikats möglich, einen Man-in-the-Middle-Angriff durchzuführen.

CVE-2012-5784: Schwachstelle in Apache Axis

Eine Schwachstelle im Apache Axis 1.4 und früher versäumt es, den Hostnamen
eines Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN)
des X.509-Zertifikats zu vergleichen.
Einem entfernten Angreifer ist es mittels eines beliebigen, aber gültigen
Zertifikats möglich, einen Man-in-the-Middle-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1122/

Schwachstelle CVE-2012-5784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5784

Apache Security Notice AXIS-2905:
https://issues.apache.org/jira/browse/AXIS-2905

Schwachstelle CVE-2014-3596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3596

RedHat Security Advisory RHSA-2014:1123:
http://rhn.redhat.com/errata/RHSA-2014-1123.html

Red Hat Security Advisory RHSA-2014:1193:
http://rhn.redhat.com/errata/RHSA-2014-1193.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (03.09.2014):
RedHat hat Sicherheitsupdates für das Red Hat Developer Toolset 2 für RHEL
6 veröffentlicht.
Version 1 (27.08.2014):
Neues Advisory

Betroffene Software:

Apache Software Foundation Axis <= 1.4 Red Hat Developer Toolset 2 2 RHEL6 Betroffene Plattformen: GNU/Linux Red Hat Enterprise Linux 6 Es wurde festgestellt, dass der Fix für die Schwachstelle CVE-2012-5784 unvollständig war. Der Code, welcher ergänzt wurde, um die Übereinstimmung des Hostnamens eines Servers mit dessen Zertifikat zu überprüfen, war fehlerhaft. Durch Ausnutzen dieser Schwachstelle ist es einem entfernten, nicht authentisierten Angreifer, mittels eines präparierten, aber gültigen Zertifikates möglich, einen Man-in-Middle-Angriff durchzuführen. Patch: RedHat Security Advisory RHSA-2014:1123 http://rhn.redhat.com/errata/RHSA-2014-1123.html

CVE-2014-3596: Schwachstelle in Apache Axis aufgrund eines unvollständigen
Fixes

Eine Schwachstelle in der Funktion “getCN” in Apache Axis 1.4 und früher
besteht darin, dass diese Funktion nicht korrekt überprüft, ob der Hostname
eines Servers entweder mit einem Domain-Namen im Common Name (CN)-Feld des
Certificate Subjects oder alternativ mit einem Domain-Namen im
“subjectAltName”-Feld des X.509-Zertifikates übereinstimmt. Diese
Schwachstelle erlaubt einem entfernten, nicht authentisierten Angreifer, als
Man-in-the-Middle, mittels eines Zertifikates mit einem Certificate Subject,
welches einen “Common Name” angibt in einem Feld, welches nicht das CN-Feld
ist, SSL-Server zu spoofen, d.h. eine falsche Server-Identität
vorzutäuschen. Hierdurch werden weitere Angriffe möglich. Die Schwachstelle
besteht aufgrund eines unvollständigen Fixes für CVE-2012-5784.

CVE-2012-5784: Schwachstelle in Apache Axis

Eine Schwachstelle im Apache Axis 1.4 und früher versäumt es, den Hostnamen
eines Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN)
des X.509-Zertifikats zu vergleichen.
Einem entfernten Angreifer ist es mittels eines beliebigen, aber gültigen
Zertifikats möglich, einen Man-in-the-Middle-Angriff durchzuführen.

CVE-2012-5784: Schwachstelle in Apache Axis

Eine Schwachstelle im Apache Axis 1.4 und früher versäumt es, den Hostnamen
eines Servers mit dem angegebenen Domain-Namen aus dem ‘Common Name’ (CN)
des X.509-Zertifikats zu vergleichen.
Einem entfernten Angreifer ist es mittels eines beliebigen, aber gültigen
Zertifikats möglich, einen Man-in-the-Middle-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1122/

Schwachstelle CVE-2012-5784 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5784

Apache Security Notice AXIS-2905:
https://issues.apache.org/jira/browse/AXIS-2905

Schwachstelle CVE-2014-3596 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3596

RedHat Security Advisory RHSA-2014:1123:
http://rhn.redhat.com/errata/RHSA-2014-1123.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.