DFN-CERT

Advisory-Archiv

2019-1774: Apache Commons BeanUtils: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-08-26 14:43)
Neues Advisory
Version 2 (2019-08-29 12:23)
Für SUSE Linux Enterprise Module for Web Scripting und SUSE Linux Enterprise Module for Open Buildservice Development Tools jeweils in den Versionen 15 und 15 SP1 sowie SUSE Linux Enterprise Server 12 SP4 stehen Sicherheitsupdates für 'apache-commons-beanutils' bereit, um die Schwachstelle zu beheben.
Version 3 (2019-09-03 13:39)
Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates für 'apache-commons-beanutils' bereit, um die Schwachstelle zu beheben.
Version 4 (2019-11-06 10:44)
Für Fedora 30 und 31 stehen die Pakete 'apache-commons-beanutils-1.9.4-1.fc30' und 'apache-commons-beanutils-1.9.4-1.fc31' als Sicherheitsupdates im Status 'testing' bereit.
Version 5 (2019-12-19 11:35)
Für Red Hat Software Collections 1 (for RHEL Server) 7, 7.5, 7.6 und 7.7 sowie Red Hat Software Collections 1 (for RHEL Workstation) 7 stehen Sicherheitsupdates für 'rh-maven35-apache-commons-beanutils' zur Verfügung.
Version 6 (2020-01-08 15:30)
Für Red Hat Software Collections 1 (for RHEL Server) 6, 7, 7.5, 7.6 und 7.7 sowie Red Hat Software Collections 1 (for RHEL Workstation) 6 und 7 stehen Sicherheitsupdates für 'rh-java-common-apache-commons-beanutils' zur Verfügung.
Version 7 (2020-01-22 10:41)
Für die Red Hat Enterprise Linux Produkte Server, for Scientific Computing, Workstation und Desktop in Version 7, Red Hat Enterprise Linux for x86_64 - Extended Update Support 7.7, EUS Compute Node 7.7 und Server AUS und TUS 7.7 sowie für Oracle Linux 7 stehen Sicherheitsupdate für 'apache-commons-beanutils' zur Behebung der Schwachstelle zur Verfügung.
Version 8 (2020-06-19 11:57)
Für Red Hat Fuse 7.6 auf der JBoss Enterprise Application Platform steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit. Um die Schwachstelle vollständig zu beheben, muss zusätzlich JBoss Enterprise Application Platform 7.2.7 oder später eingesetzt werden.
Version 9 (2020-06-25 15:37)
Für Red Hat Satellite 6.5 und Red Hat Satellite Capsule 6.5 stehen Sicherheitsupdates von 'candlepin' und 'satellite' zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter Angreifer kann eine Schwachstelle in Apache Commons BeanUtils ausnutzen und auf den Classloader zugreifen, dadurch JavaBeans-Programmcode manipulieren und somit beliebigen Programmcode zur Ausführung bringen.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für Apache Commons BeanUtils auf Version 1.9.2-1+deb8u1 bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.