2015-1425: Apache Groovy: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2015-09-16 16:56)

Neues Advisory

Version 2 (2016-01-26 11:54)

Red Hat stellt Red Hat JBoss Data Virtualization 6.2.0 Update 2 als Sicherheitsupdate zur Behebung dieser Schwachstelle zur Verfügung.

Version 3 (2017-08-24 11:39)

Für Fedora 25 und 26 stehen Sicherheitsupdates in Form der Pakete 'groovy18-1.8.9-30.fc25' und 'groovy18-1.8.9-30.fc26' im Status 'testing' bereit, um diese Schwachstelle zu beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle mittels eines präparierten serialisierten Objektes ausnutzen, um beliebigen Programmcode aus- oder einen Denial-of-Service-Angriff durchzuführen.

Für die Distributionen Fedora 22 und Fedora 23 stehen Sicherheitsupdates im Status 'testing' zur Verfügung. Für Fedora 23 erfolgt eine Aktualisierung auf die Version 2.4.4 und für Fedora 22 steht ein Backport-Sicherheitsupdate in Form des Paketes groovy-2.4.0-2.fc22 bereit.

Schwachstellen:

CVE-2015-3253

Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.