2018-0012: Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-04 18:57)

Neues Advisory

Betroffene Software

Middleware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in den Komponenten EAP, Lucene/Solr, RESTEasy und Undertow der Red Hat JBoss Enterprise Application Platform und in einem JBoss Init-Skript ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, einen Denial-of-Service- (DoS) und einen Cross-Site-Scripting (XSS)-Angriff, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen und das Ausspähen von Informationen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer die Eskalation seiner Privilegien.

Red Hat stellt Red Hat JBoss Enterprise Application Platform 7.0.9 als Ersatz für die Version 7.0.8 als Sicherheitsupdate für Red Hat Enterprise Linux 6 und 7 zur Verfügung. Zusätzlich werden entsprechend aktualisierte 'jboss-ec2-eap'-Pakete bereitgestellt.

Schwachstellen:

CVE-2016-6346

Schwachstelle in RESTEasy ermöglicht Denial-of-Service-Angriff

CVE-2017-12165

Schwachstelle in Undertow ermöglicht u.a. Umgehen von Sicherheitsvorkehrungen

CVE-2017-12167

Schwachstelle in EAP ermöglicht Ausspähen von Informationen

CVE-2017-12189

Schwachstelle in JBoss ermöglicht Privilegieneskalation

CVE-2017-12629

Schwachstelle in Lucene/Solr ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7559

Schwachstelle in Undertow ermöglicht Cross-Site-Scripting-Angriff oder Ausspähen von Informationen

CVE-2017-7561

Schwachstelle in RESTEasy ermöglicht Darstellung falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.