UPDATE: DFN-CERT-2015-1290 Apache Flex BlazeDS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Apple][Solaris][Windows]

UPDATE: DFN-CERT-2015-1290 Apache Flex BlazeDS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (21.12.2015):
Der Hersteller VMware stellt in einer überarbeiteten Fassung seines
Advisory fest, dass auch die Schwachstelle CVE-2015-5255, die einem
entfernten, nicht authentifizierten Angreifer die Durchführung eines
Cross-Site-Request-Forgery-Angriffs erlaubt, mit den Sicherheitsupdates
bereits behoben ist. Aus diesem Grund wurde die Schwachstelle auch mit in
dieses Advisory aufgenommen.
Version 4 (19.11.2015):
Diese Schwachstelle wurde ursprünglich nur für Adobe LiveCycle Data
Services deklariert. Der Advisory-Text wurde jetzt auf Flex BlazeDS
verallgemeinert und entsprechend ergänzt. VMware hat diese Schwachstelle
bestätigt und stellt die folgenden Versionen als Sicherheitsupdates zur
Verfügung: VMware vCenter Server Version 5.5 Update 3, Version 5.1 Update
u3b und Version 5.0 Update u3e; vCloud Director Version 5.6.4 und Version
5.5.3; VMware Horizon View Version 6.1 und Version 5.3.4.
Version 3 (31.08.2015):
Adobe informiert darüber, dass auch Adobe LiveCycle Data Services 3.1.x
von der Schwachstelle CVE-2015-3269 betroffen ist und veröffentlicht
Hotfixes Version 3.1.0.354173.
Version 2 (28.08.2015):
Adobe informiert darüber, dass auch ColdFusion von der Schwachstelle
CVE-2015-3269 betroffen ist und veröffentlicht Hotfixes. Für ColdFusion 10
steht das Update 17 bereit und für ColdFusion 11 das Update 6.
Version 1 (19.08.2015):
Neues Advisory

Betroffene Software:

Adobe ColdFusion <= 10.0 Update 16 Adobe ColdFusion <= 11.0 Update 5 LiveCycle Data Services 3.0.x LiveCycle Data Services 3.1.x LiveCycle Data Services 4.5 LiveCycle Data Services 4.6.2 LiveCycle Data Services 4.7 VMware Horizon View <= 6.0.2 VMware vCenter Server <= 5.0 Update 3d VMware vCenter Server <= 5.1 Update 3a VMware vCenter Server <= 5.5 Update 2e vCloud Director <= 5.5.2.1 vCloud Director <= 5.6.3 VMware View <= 5.3.3 Betroffene Plattformen: Apple Mac OS X GNU/Linux HP-UX family of operating systems IBM AIX Microsoft Windows Oracle Solaris Durch Ausnutzen einer Schwachstelle in Apache Flex BlazeDS kann ein entfernter, nicht authentisierter Angreifer Informationen ausspähen. Adobe hat diese Schwachstelle bestätigt und stellt Sicherheitsupdates in Form verschiedener Hotfixes für die betroffenen Versionen bereit. Patch: Adobe Security Bulletin APSB15-20 http://helpx.adobe.com/content/help/en/security/products/livecycleds/apsb15-20.html

Patch:

Adobe Security Bulletin APSB15-21

http://helpx.adobe.com/content/help/en/security/products/coldfusion/apsb15-21.html

Patch:

VMware Security Advisories VMSA-2015-0008

http://www.vmware.com/security/advisories/VMSA-2015-0008.html

CVE-2015-5255: Schwachstelle in BlazeDS ermöglicht
Cross-Site-Request-Forgery-Angriff

Eine Cross-Site-Request-Forgery-Schwachstelle in BlazeDS existiert beim
Parsen von XML-Dokumenten bei der Deserialisierung von AMF XML-Datentypen.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, mittels eines schädlichen, präparierten XML-Dokumentes, um einen
Cross-Site-Request-Forgery-Angriff durchführen.

CVE-2015-3269: Schwachstelle in Apache Flex BlazeDS ermöglicht Ausspähen von
Informationen

Durch eine Schwachstelle in Apache Flex BlazeDS, wie verwendet in
‘flex-messaging-core.jar’ in Adobe LiveCycle Data Services (LCDS) 3.0.x
bevor 3.0.0.354170, 4.5 bevor 4.5.1.354169, 4.6.2 bevor 4.6.2.354169 und 4.7
bevor 4.7.0.354169 und anderen Produkten, werden XML External Entity (XXE)
Requests nicht korrekt verarbeitet. Ein entfernter, nicht authentifizierter
Angreifer kann dies mit Hilfe von präparierten AMF Messages, die
Deklarationen und Referenzen zu XXE enthalten, ausnutzen und dadurch auf
beliebige Dateien lesend zugreifen.

Apache Flex BlazeDS wird in folgenden Produkten verwendet, die dadurch
angreifbar sind: in ‘flex-messaging-core.jar’ von Adobe LiveCycle Data
Services (LCDS), in Coldfusion, in VMware vCenter Server, in vCloud
Director, in VMware View und Horizon View.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1290/

Adobe Security Bulletin APSB15-20:
http://helpx.adobe.com/content/help/en/security/products/livecycleds/apsb15-20.html

Schwachstelle CVE-2015-3269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3269

Adobe Security Bulletin APSB15-21:
http://helpx.adobe.com/content/help/en/security/products/coldfusion/apsb15-21.html

Schwachstelle CVE-2015-5255 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5255

VMware Security Advisories VMSA-2015-0008:
http://www.vmware.com/security/advisories/VMSA-2015-0008.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2015-1290 Apache Flex BlazeDS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][AIX][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (19.11.2015):
Diese Schwachstelle wurde ursprünglich nur für Adobe LiveCycle Data
Services deklariert. Der Advisory-Text wurde jetzt auf Flex BlazeDS
verallgemeinert und entsprechend ergänzt. VMware hat diese Schwachstelle
bestätigt und stellt die folgenden Versionen als Sicherheitsupdates zur
Verfügung: VMware vCenter Server Version 5.5 Update 3, Version 5.1 Update
u3b und Version 5.0 Update u3e; vCloud Director Version 5.6.4 und Version
5.5.3; VMware Horizon View Version 6.1 und Version 5.3.4.
Version 3 (31.08.2015):
Adobe informiert darüber, dass auch Adobe LiveCycle Data Services 3.1.x
von der Schwachstelle CVE-2015-3269 betroffen ist und veröffentlicht
Hotfixes Version 3.1.0.354173.
Version 2 (28.08.2015):
Adobe informiert darüber, dass auch ColdFusion von der Schwachstelle
CVE-2015-3269 betroffen ist und veröffentlicht Hotfixes. Für ColdFusion 10
steht das Update 17 bereit und für ColdFusion 11 das Update 6.
Version 1 (19.08.2015):
Neues Advisory

Betroffene Software:

Adobe ColdFusion <= 10.0 Update 16 Adobe ColdFusion <= 11.0 Update 5 LiveCycle Data Services 3.0.x LiveCycle Data Services 3.1.x LiveCycle Data Services 4.5 LiveCycle Data Services 4.6.2 LiveCycle Data Services 4.7 VMware Horizon View <= 6.0.2 VMware vCenter Server <= 5.0 Update 3d VMware vCenter Server <= 5.1 Update 3a VMware vCenter Server <= 5.5 Update 2e vCloud Director <= 5.5.2.1 vCloud Director <= 5.6.3 VMware View <= 5.3.3 Betroffene Plattformen: Apple Mac OS X GNU/Linux HP-UX family of operating systems IBM AIX Microsoft Windows Oracle Solaris Durch Ausnutzen einer Schwachstelle in Apache Flex BlazeDS kann ein entfernter, nicht authentisierter Angreifer Informationen ausspähen. Adobe hat diese Schwachstelle bestätigt und stellt Sicherheitsupdates in Form verschiedener Hotfixes für die betroffenen Versionen bereit. Patch: Adobe Security Bulletin APSB15-20 http://helpx.adobe.com/content/help/en/security/products/livecycleds/apsb15-20.html

Patch:

Adobe Security Bulletin APSB15-21

http://helpx.adobe.com/content/help/en/security/products/coldfusion/apsb15-21.html

Patch:

VMware Security Advisories VMSA-2015-0008

http://www.vmware.com/security/advisories/VMSA-2015-0008.html

CVE-2015-3269: Schwachstelle in Apache Flex BlazeDS ermöglicht Ausspähen von
Informationen

Durch eine Schwachstelle in Apache Flex BlazeDS, wie verwendet in
‘flex-messaging-core.jar’ in Adobe LiveCycle Data Services (LCDS) 3.0.x
bevor 3.0.0.354170, 4.5 bevor 4.5.1.354169, 4.6.2 bevor 4.6.2.354169 und 4.7
bevor 4.7.0.354169 und anderen Produkten, werden XML External Entity (XXE)
Requests nicht korrekt verarbeitet. Ein entfernter, nicht authentifizierter
Angreifer kann dies mit Hilfe von präparierten AMF Messages, die
Deklarationen und Referenzen zu XXE enthalten, ausnutzen und dadurch auf
beliebige Dateien lesend zugreifen.

Apache Flex BlazeDS wird in folgenden Produkten verwendet, die dadurch
angreifbar sind: in ‘flex-messaging-core.jar’ von Adobe LiveCycle Data
Services (LCDS), in Coldfusion, in VMware vCenter Server, in vCloud
Director, in VMware View und Horizon View.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1290/

Adobe Security Bulletin APSB15-20:
http://helpx.adobe.com/content/help/en/security/products/livecycleds/apsb15-20.html

Schwachstelle CVE-2015-3269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3269

Adobe Security Bulletin APSB15-21:
http://helpx.adobe.com/content/help/en/security/products/coldfusion/apsb15-21.html

VMware Security Advisories VMSA-2015-0008:
http://www.vmware.com/security/advisories/VMSA-2015-0008.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben