2017-2043: Red Hat JBoss Enterprise Application Platform: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-11-15 17:47)

Neues Advisory

Version 2 (2019-01-23 11:04)

Red Hat stellt die Red Hat JBoss Enterprise Application Platform 7.2.0 (Text-Only Advisory) als Ersatz für Red Hat JBoss Enterprise Application Platform 7.1 zur Verfügung, um diese Schwachstelle zu beheben und andere Erweiterungen umzusetzen.

Version 3 (2019-01-24 16:14)

Red Hat JBoss Enterprise Application Platform 7.2.0 steht nun auch für Red Hat Enterprise Linux 6 und 7 zur Verfügung. Der JBoss Server-Prozess muss im Anschluss an das Update neu gestartet werden.

Betroffene Software

Middleware
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in der Komponente PicketLink der Red Hat JBoss Enterprise Application Platform mit einer speziell präparierten SAML-Nachricht ausnutzen und über das Feld 'InResponseTo' in der Antwort auf die Nachricht sensitive Systeminformationen ausspähen.

Red Hat stellt Red Hat JBoss Enterprise Application Platform 6.4.18 als Sicherheitsupdate für Red Hat Enterprise Linux 5, 6 und 7 sowie aktualisierte 'jboss-ec2-eap'-Pakete für die Red Hat JBoss Enterprise Application Platform 6.4 zur Verfügung.

Schwachstellen:

CVE-2017-2582

Schwachstelle in PicketLink ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.