DFN-CERT

Advisory-Archiv

2018-0542: SLF4J: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-21 10:47)
Neues Advisory
Version 2 (2018-03-26 13:35)
Für Red Hat Software Collections steht ein Update für 'rh-maven35-slf4j' zur Verfügung, mit dem die Schwachstelle in Simple Logging Facade for Java (SLF4J) behoben wird.
Version 3 (2018-03-27 12:19)
Red Hat stellt für das Red Hat Enterprise Linux 7 Produktportfolio Sicherheitsupdates zur Behebung der Schwachstelle in 'slf4j' bereit. Die Schwachstelle wird ebenfalls mit einem Sicherheitsupdate für Oracle Linux 7 behoben.
Version 4 (2018-04-04 12:47)
Red Hat stellt Sicherheitsupdates zur Behebung der Schwachstelle für Red Hat JBoss Enterprise Application Platform 7.1 ( Red Hat Enterprise Linux 6 und 7) sowie für Red Hat JBoss Enterprise Application Platform 6.4 (Red Hat Enterprise Linux 5, 6 und 7) zur Verfügung.
Version 5 (2018-05-07 12:35)
Für Red Hat Single Sign-On 7.2 steht ein Sicherheitsupdate auf Version 7.2.2 zur Behebung der Schwachstelle bereit, welches Red Hat Single Sign-On 7.2.1 ersetzt.
Version 6 (2018-06-11 12:49)
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'slf4j' bereit, um diese Schwachstelle zu beheben.
Version 7 (2018-06-20 12:35)
Für SUSE OpenStack Cloud 8, SUSE Manager Server 3.0 und 3.1 sowie für SUSE Linux Enterprise Software Development Kit 12 SP3 stehen Sicherheitsupdates für 'slf4j' zur Behebung der Schwachstelle bereit.

Betroffene Software

Entwicklung
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer manipulierten XML-Datei, welche ein Benutzer zuvor der SLF4J-Schnittstelle lokal zur Verfügung stellen muss, beliebigen Programmcode im Kontext des zugrundeliegenden Java-Prozesses, welcher mit Hilfe von SLF4J protokolliert wird, zur Ausführung bringen.

Für Fedora 26 und 27 stehen Backport-Sicherheitsupdates in Form der Pakete 'slf4j-1.7.22-5.fc26' und 'slf4j-1.7.25-4.fc27' im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-8088

Schwachstelle in SLF4J ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.