2018-0468: IBM WebSphere Application Server: Eine Schwachstelle in Apache CXF ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-03-09 18:53)

Neues Advisory

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in den von WebSphere Application Server genutzten Apache CXF Web Services ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Ab Apache CXF 3.2.1 und 3.1.14 werden zur Behebung der Schwachstelle Message Attachment Headers größer als 300 Zeichen per Voreinstellung zurückgewiesen. Dieser Wert ist konfigurierbar über die Eigenschaft 'attachment-max-header-size'.

IBM informiert über die Schwachstelle in WebSphere Application Server traditional bei Verwendung von JAXRS in den Versionen 9.0 bis inklusive 9.0.0.6 sowie WebSphere Application Server Liberty bei Verwendung von JAXWS und stellt die Fix Pack Versionen 9.0.0.7 und 18.0.0.1 als Sicherheitsupdates zur Verfügung. Alternativ zu den Fix Pack Versionen können Interim Fix PI92492 bzw. Interim Fix PI92494 eingespielt werden, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2017-12624

Schwachstelle in Apache CXF ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.