UPDATE: DFN-CERT-2017-0077 Apache Groovy: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2017-0077 Apache Groovy: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (17.08.2017):
Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates zur Behebung der
Schwachstelle in ‘groovy’ bereit.
Version 3 (17.08.2017):
Für Red Hat Enterprise Linux 7 stehen Backport-Sicherheitsupdates für die
verschiedenen Produktvarianten bereit. Unter anderem können Benutzer von
Red Hat Enterprise Linux Desktop, Workstation, Server, Server for ARM
sowie Red Hat Enterprise Linux for Scientific Computing in Version 7 die
Sicherheitsupdates erhalten. Weitere Updates stehen für die unfreien
Versionen Extended Update Support (EUS), Advanced Update Support (AUS) und
Telco Update Support (TUS) 7.4 von Red Hat Enterprise Linux Server zur
Verfügung.
Version 2 (12.07.2017):
Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form der Pakete
‘groovy18-1.8.9-28.fc24’, ‘groovy18-1.8.9-28.fc25’ und
‘groovy18-1.8.9-28.fc26’ bereit. Die Sicherheitsupdates für Fedora 24 und
25 befinden sich im Status ‘testing’, während dasjenige für Fedora 26 noch
‘pending’ ist.
Version 1 (17.01.2017):
Neues Advisory

Betroffene Software:

Apache Groovy < 2.4.8 Betroffene Plattformen: Oracle Linux 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux 7.4 EUS Compute Node Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Server 7.4 AUS Red Hat Enterprise Linux Server 7.4 EUS Red Hat Enterprise Linux Server 7.4 TUS Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. The Apache Software Foundation hat diese Schwachstelle in der Apache Groovy Version 2.4.8 behoben. Für Fedora 24 und 25 stehen Backport-Sicherheitsupdates in Form der Pakete 'groovy-2.4.5-8.fc24' und 'groovy-2.4.5-10.fc25' im Status 'testing' zur Behebung der Schwachstelle bereit, für die Fedora als Auswirkung allerdings nur das Ausspähen von Informationen deklariert. Patch: Fedora Security Update FEDORA-2017-1ce2a05ff1 (Fedora 24, groovy-2.4.5-8.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1ce2a05ff1

Patch:

Fedora Security Update FEDORA-2017-cc0e0daf0f (Fedora 25,
groovy-2.4.5-10.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-cc0e0daf0f

Patch:

Fedora Security Update FEDORA-2017-33c8085c5d (Fedora 25,
groovy18-1.8.9-28.f25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-33c8085c5d

Patch:

Fedora Security Update FEDORA-2017-405453f285 (Fedora 24,
groovy18-1.8.9-28.f24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-405453f285

Patch:

Fedora Security Update FEDORA-2017-661dddc462 (Fedora 26,
groovy18-1.8.9-28.f26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-661dddc462

Patch:

Oracle Linux Security Advisory ELSA-2017-2486

https://linux.oracle.com/errata/ELSA-2017-2486.html

Patch:

Red Hat Security Advisory RHSA-2017:2486

https://access.redhat.com/errata/RHSA-2017:2486

CVE-2016-6814: Schwachstelle in Apache Groovy ermöglicht Ausführen
beliebigen Programmcodes

In Groovy 1.7.0 bis 2.4.3 (nicht unterstützte Versionen) und Apache Groovy
2.4.4 bis 2.4.7 existiert eine Schwachstelle, wenn eine Anwendung mit Groovy
auf dem Klassenpfad den Standard Java Mechanismus zur Serialisierung
verwendet, beispielsweise zur Kommunikation zwischen Servern oder um lokale
Daten zu speichern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0077/

Fedora Security Update FEDORA-2017-1ce2a05ff1 (Fedora 24, groovy-2.4.5-8.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1ce2a05ff1

Fedora Security Update FEDORA-2017-cc0e0daf0f (Fedora 25,
groovy-2.4.5-10.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cc0e0daf0f

Schwachstelle CVE-2016-6814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6814

Fedora Security Update FEDORA-2017-33c8085c5d (Fedora 25,
groovy18-1.8.9-28.f25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-33c8085c5d

Fedora Security Update FEDORA-2017-405453f285 (Fedora 24,
groovy18-1.8.9-28.f24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-405453f285

Fedora Security Update FEDORA-2017-661dddc462 (Fedora 26,
groovy18-1.8.9-28.f26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-661dddc462

Oracle Linux Security Advisory ELSA-2017-2486:
https://linux.oracle.com/errata/ELSA-2017-2486.html

Red Hat Security Advisory RHSA-2017:2486:
https://access.redhat.com/errata/RHSA-2017:2486

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben