2019-1425: Spring Framework: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebiger Kommandos
Historie:
- Version 1 (2019-07-15 14:08)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in Spring Framework ausnutzen, um mit Hilfe manipulierter URLs mit angehängten Batch-Dateien Kommandos mit Benutzerrechten auszuführen. den Inhalt beliebiger Dateien auszulesen bzw. ohne notwendige Berechtigung auf Verzeichnisse und Dateien zuzugreifen sowie einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'libspring-java' auf Version 3.0.6.RELEASE-17+deb8u1 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2014-3578
Schwachstelle in Spring Framework ermöglicht Ausspähen von InformationenCVE-2014-3625
Directory-Traversal-Schwachstelle in Spring Framework ermöglicht Ausspähen von InformationenCVE-2015-3192
Schwachstelle in Spring Framework ermöglicht Denial-of-Service-AngriffCVE-2015-5211
Schwachstelle in Spring Framework ermöglicht Reflected-File-Download-AngriffCVE-2016-9878
Schwachstelle in Spring Framework ermöglicht Directory-Traversal-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.