2015-1290: Apache Flex BlazeDS: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2015-08-19 18:52)

Neues Advisory

Version 2 (2015-08-28 12:02)

Adobe informiert darüber, dass auch ColdFusion von der Schwachstelle CVE-2015-3269 betroffen ist und veröffentlicht Hotfixes. Für ColdFusion 10 steht das Update 17 bereit und für ColdFusion 11 das Update 6.

Version 3 (2015-08-31 13:14)

Adobe informiert darüber, dass auch Adobe LiveCycle Data Services 3.1.x von der Schwachstelle CVE-2015-3269 betroffen ist und veröffentlicht Hotfixes Version 3.1.0.354173.

Version 4 (2015-11-19 15:23)

Diese Schwachstelle wurde ursprünglich nur für Adobe LiveCycle Data Services deklariert. Der Advisory-Text wurde jetzt auf Flex BlazeDS verallgemeinert und entsprechend ergänzt. VMware hat diese Schwachstelle bestätigt und stellt die folgenden Versionen als Sicherheitsupdates zur Verfügung: VMware vCenter Server Version 5.5 Update 3, Version 5.1 Update u3b und Version 5.0 Update u3e; vCloud Director Version 5.6.4 und Version 5.5.3; VMware Horizon View Version 6.1 und Version 5.3.4.

Version 5 (2015-12-21 18:29)

Der Hersteller VMware stellt in einer überarbeiteten Fassung seines Advisory fest, dass auch die Schwachstelle CVE-2015-5255, die einem entfernten, nicht authentifizierten Angreifer die Durchführung eines Cross-Site-Request-Forgery-Angriffs erlaubt, mit den Sicherheitsupdates bereits behoben ist. Aus diesem Grund wurde die Schwachstelle auch mit in dieses Advisory aufgenommen.

Version 6 (2018-11-02 12:38)

Der Hersteller VMware informiert in einer überarbeiteten Fassung seines Advisories über Sicherheitsupdates für vCloud Director. Für die Versionen 9.0.0.x steht die Version 9.0.0.3 und für die Versionen 9.1.0.x die Version 9.1.0.2 zur Verfügung.

Betroffene Software

Entwicklung
Netzwerk
Office
Systemsoftware
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Durch Ausnutzen einer Schwachstelle in Apache Flex BlazeDS kann ein entfernter, nicht authentisierter Angreifer Informationen ausspähen.

Adobe hat diese Schwachstelle bestätigt und stellt Sicherheitsupdates in Form verschiedener Hotfixes für die betroffenen Versionen bereit.

Schwachstellen:

CVE-2015-3269

Schwachstelle in Apache Flex BlazeDS ermöglicht Ausspähen von Informationen

CVE-2015-5255

Schwachstelle in BlazeDS ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.