2020-1060: Red Hat Thorntail: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-05-19 14:24)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Mehrere Schwachstellen in Red Hat Thorntail und in den davon verwendeten Komponenten ermöglichen einem entfernten Angreifer, in vier Fällen mit üblichen Benutzerrechten, das Eskalieren von Privilegien, das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Erlangen von Benutzerrechten und das Durchführen von Cross-Site-Request-Forgery (CSRF)-, Denial-of-Service (DoS)-, HTTP-Request-Smuggling- und Cross-Site-Scripting (XSS)-Angriffen. Mehrere Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer mit erweiterten Rechten das Umgehen von Sicherheitsvorkehrungen und möglicherweise das Durchführen weiterer Angriffe. Auch dieser Angriff erfordert die Interaktion eines Benutzers, um erfolgreich zu sein.
Für Red Hat Thorntail steht ein Sicherheitsupdate auf Version 2.5.1 zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2019-0205
Schwachstelle in Apache Thrift ermöglicht Denial-of-Service-AngriffCVE-2019-0210
Schwachstelle in Apache Thrift ermöglicht Denial-of-Service-AngriffCVE-2019-10086
Schwachstelle in Apache Commons BeanUtils ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-10199
Schwachstelle in Red Hat Single Sign On ermöglicht ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2019-10201
Schwachstelle in Red Hat Single Sign On ermöglicht Erlangen von BenutzerrechtenCVE-2019-10219
Schwachstelle in Hibernate-Validator ermöglicht Cross-Site-Scripting-AngriffCVE-2019-12400
Schwachstelle in Apache Santuario XML ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-12406
Schwachstelle in Apache CXF ermöglicht Denial-of-Service-AngriffCVE-2019-12419
Schwachstelle in Apache CXF ermöglicht PrivilegieneskalationCVE-2019-14540
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-14820
Schwachstelle in Keycloak ermöglicht Ausspähen von InformationenCVE-2019-14832
Schwachstelle in Keycloak ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-14838
Schwachstelle in Wildfly ermöglicht PrivilegieneskalationCVE-2019-14887
Schwachstelle in Wildfly ermöglicht u. a. Ausspähen von InformationenCVE-2019-14888
Schwachstelle in Undertow ermöglicht Denial-of-Service-AngriffCVE-2019-14892
Schwachstelle in jackson-databind ermöglicht Ausspähen von InformationenCVE-2019-14893
Schwachstelle in jackson-databind ermöglicht Ausspähen von InformationenCVE-2019-16335
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-16942
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-16943
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-17267
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-17531
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-20330
Schwachstelle in jackson-databind ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-3875
Schwachstelle in keycloak ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-9511
Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-AngriffCVE-2019-9512
Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-AngriffCVE-2019-9514
Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-AngriffCVE-2019-9515
Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-AngriffCVE-2020-10672
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-10673
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-10968
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-10969
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11111
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11112
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11113
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11619
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-11620
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-1729
Schwachstelle in SmallRye ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-7238
Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-AngriffCVE-2020-8840
Schwachstelle in jackson-databind ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-9546
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-9547
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-9548
Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.