Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.05.2015):
Für SUSE Manager Server 2.1 steht ein Sicherheitsupdate bereit.
Version 1 (12.05.2015):
Neues Advisory

Betroffene Software:

Spacewalk-Java <= 2.3.8 Betroffene Plattformen: SUSE Manager Red Hat Network Satellite Red Hat Satellite 5.7 for RHEL 6 Red Hat Enterprise Linux 6 Eine Schwachstelle in Spacewalk-Java ermöglicht einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen. Für Red Hat Satellite 5.7 auf Red Hat Enterprise Linux 6 stehen Sicherheitsupdates zur Verfügung. Patch: Red Hat Security Advisory RHSA-2015:0957 http://rhn.redhat.com/errata/RHSA-2015-0957.html

Patch:

SUSE Security Update SUSE-SU-2015:0945-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150945-1.html

CVE-2014-8162: Schwachstelle in Spacewalk-Java ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle bei der Bearbeitung externer XML-Objekte führt dazu, dass
die RPC-Schnittstelle des Satellite Servers die externen Referenzen auflöst.
Dadurch ist es möglich beliebige Dateien, auf die der Benutzer des Dienstes
zugreifen kann, auszulesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0674/

Red Hat Security Advisory RHSA-2015:0957:
http://rhn.redhat.com/errata/RHSA-2015-0957.html

Schwachstelle CVE-2014-8162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8162

SUSE Security Update SUSE-SU-2015:0945-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150945-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.