DFN-CERT

Advisory-Archiv

2020-1433: Red Hat Single Sign-On: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-06 13:12)
Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Red Hat Single Sign-On ermöglichen es einem entfernten Angreifer beliebigen Programmcode ausführen zu lassen. Ein erfolgreicher Angriff erfordert in einigen Fällen die Interaktion eines Benutzers und kann teils Einfluss auf andere Komponenten betroffener Systeme haben. Zwei weitere Schwachstellen ermöglichen einem entfernten Angreifer das Durchführen von Cross-Site-Scripting (XSS)-Angriffen. In einem Fall benötigt der Angreifer erweiterte Rechte, während im anderen Fall ein erfolgreicher Angriff die Interaktion eines Benutzers erfordert und Einfluss auf andere Komponenten betroffener Systeme haben kann. Zwei weitere Schwachstellen ermöglichen es einem entfernten Angreifer Sicherheitsvorkehrungen zu umgehen sowie einen HTTP-Request-Smuggeling-Angriff und möglicherweise weitere Angriffe durchzuführen.

Red Hat veröffentlicht ein Sicherheitsupdate für Red Hat Single Sign-On 7.4.1, welches die Schwachstellen behebt.

Schwachstellen:

CVE-2020-10719

Schwachstelle in Undertow ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-10748

Schwachstelle in Keycloak ermöglicht Cross-Site Scripting Angriff

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11023

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1694

Schwachstelle in Keycloak ermöglicht Cross-Site Scripting Angriff

CVE-2020-1714

Schwachstelle in Keycloak ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-8840

Schwachstelle in jackson-databind ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9546

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9547

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9548

Schwachstelle in jackson-databind ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.