2020-0630: Red Hat JBoss Fuse: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-03-27 14:13)

Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Mehrere Schwachstellen in verschiedenen Komponenten ermöglichen einem entfernten Angreifer mit und ohne übliche Benutzerrechte die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, das Erlangen von Benutzerrechten und die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Zur erfolgreichen Ausnutzung zweier Schwachstellen wird die Interaktion des Benutzers benötigt. Zudem kann ein erfolgreicher Angriff einer Schwachstelle weiteren Einfluss auf andere Komponenten des Systems haben. Eine weitere Schwachstelle ermöglicht einem Angreifer mit üblichen Benutzerrechten im benachbarten Netzwerk die Ausführung beliebigen Programmcodes.

Red Hat stellt Red Hat Fuse 7.6 als Ersatz für Red Hat Fuse 7.5 zur Verfügung, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2015-9251

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-5929

Schwachstelle in Logback ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-11771

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2018-15756

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2019-10174

Schwachstelle in Infinispan ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10184

Schwachstelle in undertow ermöglicht Ausspähen von Informationen

CVE-2019-11272

Schwachstelle in Spring Security ermöglicht Erlangen von Benutzerrechten

CVE-2019-12384

Schwachstelle in jackson-databind ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-12422

Schwachstelle in Apache Shiro ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-12814

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2019-14379

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-14439

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2019-17570

Schwachstelle in XML-RPC ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-3802

Schwachstelle in Spring Data JPA ermöglicht Ausspähen von Informationen

CVE-2019-3888

Schwachstelle in Undertow ermöglicht Ausspähen von Informationen

CVE-2019-5427

Schwachstelle in c3p0 ermöglicht Denial-of-Service-Angriff

CVE-2019-9512

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9513

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9514

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9515

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9516

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9517

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9518

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.