DFN-CERT

Advisory-Archiv

2019-0925: Red Hat JBoss Enterprise Application Platform, Red Hat Single Sign-On: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-05-09 13:22)
Neues Advisory
Version 2 (2019-05-10 10:55)
Red Hat veröffentlicht Red Hat Single Sign-On 7.3.1 zur Behebung der Schwachstellen. Hier wird zusätzlich eine Schwachstelle in keycloak adressiert, die einem entfernten, einfach authentifizierten Angreifer die Eskalation seiner Privilegien ermöglicht.

Betroffene Software

Middleware
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in der Komponente jackson-databind und eine in der Komponente Undertow ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, die Durchführung eines Server-Side-Request-Forgery-Angriffs und das Ausspähen von Informationen. Zwei weitere Schwachstellen in der Komponente wildfly ermöglichen einem entfernten, einfach authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und einem lokalen, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff.

Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für Red Hat JBoss Application Platform auf Version 7.2.1 bereit, um die Schwachstellen zu beheben. Der JBoss Server-Prozess muss im Anschluss an das Update neu gestartet werden.

Schwachstellen:

CVE-2018-11307

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2018-12022

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12023

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14642

Schwachstelle in Undertow ermöglicht Ausspähen von Informationen

CVE-2018-14720

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14721

Schwachstelle in jackson-databind ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2019-3805

Schwachstelle in wildfly ermöglicht Denial-of-Service-Angriff

CVE-2019-3868

Schwachstelle in keycloak ermöglicht Privilegieneskalation

CVE-2019-3894

Schwachstelle in wildfly ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.