DFN-CERT

Advisory-Archiv

2020-1060: Red Hat Thorntail: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-05-19 14:24)
Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Mehrere Schwachstellen in Red Hat Thorntail und in den davon verwendeten Komponenten ermöglichen einem entfernten Angreifer, in vier Fällen mit üblichen Benutzerrechten, das Eskalieren von Privilegien, das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Erlangen von Benutzerrechten und das Durchführen von Cross-Site-Request-Forgery (CSRF)-, Denial-of-Service (DoS)-, HTTP-Request-Smuggling- und Cross-Site-Scripting (XSS)-Angriffen. Mehrere Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer mit erweiterten Rechten das Umgehen von Sicherheitsvorkehrungen und möglicherweise das Durchführen weiterer Angriffe. Auch dieser Angriff erfordert die Interaktion eines Benutzers, um erfolgreich zu sein.

Für Red Hat Thorntail steht ein Sicherheitsupdate auf Version 2.5.1 zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2019-0205

Schwachstelle in Apache Thrift ermöglicht Denial-of-Service-Angriff

CVE-2019-0210

Schwachstelle in Apache Thrift ermöglicht Denial-of-Service-Angriff

CVE-2019-10086

Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10199

Schwachstelle in Red Hat Single Sign On ermöglicht ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2019-10201

Schwachstelle in Red Hat Single Sign On ermöglicht Erlangen von Benutzerrechten

CVE-2019-10219

Schwachstelle in Hibernate-Validator ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-12400

Schwachstelle in Apache Santuario XML ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-12406

Schwachstelle in Apache CXF ermöglicht Denial-of-Service-Angriff

CVE-2019-12419

Schwachstelle in Apache CXF ermöglicht Privilegieneskalation

CVE-2019-14540

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-14820

Schwachstelle in Keycloak ermöglicht Ausspähen von Informationen

CVE-2019-14832

Schwachstelle in Keycloak ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-14838

Schwachstelle in Wildfly ermöglicht Privilegieneskalation

CVE-2019-14887

Schwachstelle in Wildfly ermöglicht u. a. Ausspähen von Informationen

CVE-2019-14888

Schwachstelle in Undertow ermöglicht Denial-of-Service-Angriff

CVE-2019-14892

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2019-14893

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2019-16335

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-16942

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-16943

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-17267

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-17531

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-20330

Schwachstelle in jackson-databind ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-3875

Schwachstelle in keycloak ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-9511

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9512

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9514

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9515

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2020-10672

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-10673

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-10968

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-10969

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11111

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11112

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11113

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11619

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11620

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1729

Schwachstelle in SmallRye ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-7238

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-8840

Schwachstelle in jackson-databind ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9546

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9547

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9548

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.