2017-1978: Red Hat Virtualization: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-11-08 11:37)

Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux
Virtualisierung

Beschreibung:

Zwei Schwachstellen in den Komponenten jasypt und jackson-databind der Red Hat Virtualization Manager (RHV-M) Virtual Appliance ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle in der Komponente Hibernate Validator ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation seiner Privilegien.

Red Hat stellt für die Produkte Red Hat Virtualization 4 und Red Hat Virtualization Host 4 Sicherheitsupdates für das Paket 'rhvm-appliance' bereit. Die RHV-M Virtual Appliance automatisiert Installation und Verwaltung des Red Hat Virtualization Managers.

Schwachstellen:

CVE-2014-9970

Schwachstelle in jasypt ermöglicht Ausspähen von Informationen

CVE-2017-7525

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7536

Schwachstelle in Hibernate Validator ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.