2020-2762: Red Hat JBoss Fuse: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-12-22 14:11)

Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, falsche Informationen darzustellen und einen Server-Side-Template-Injection-, einen Server-Side-Request-Forgery (SSRF)- und einen Cross-Site-Scripting (XSS)-Angriff sowie Denial-of-Service (DoS)- und XML-External-Entity (XXE)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Red Hat stellt Red Hat Fuse 7.8.0 als Ersatz für Red Hat Fuse 7.7 als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2018-1000873

Schwachstelle in jackson-modules-java8 ermöglicht Denial-of-Service-Angriff

CVE-2019-0205

Schwachstelle in Apache Thrift ermöglicht Denial-of-Service-Angriff

CVE-2019-0210

Schwachstelle in Apache Thrift ermöglicht Denial-of-Service-Angriff

CVE-2019-10202

Schwachstelle in codehaus ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10219

Schwachstelle in Hibernate-Validator ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-11777

Schwachstelle in Eclipse Paho Java Client ermöglicht Darstellen falscher Informationen

CVE-2019-12406

Schwachstelle in Apache CXF ermöglicht Denial-of-Service-Angriff

CVE-2019-12423

Schwachstelle in Apache CXF ermöglicht das Umgehen von Sicherheitsvorkehrungen

CVE-2019-13990

Schwachstelle in Oracle Fusion Middleware ermöglicht komplette Kompromittierung der Software

CVE-2019-14900

Schwachstelle in Hibernate ermöglicht Ausspähen von Informartionen

CVE-2019-17566

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2019-17638

Schwachstelle in Eclipse Jetty ermöglicht u. a. Ausspähen von Informationen

CVE-2019-19343

Schwachstelle in Undertow ermöglicht Denial-of-Service-Angriff

CVE-2019-2692

Schwachstelle in Oracle MySQL Connector/J ermöglicht Übernahme der Systemkomponente

CVE-2019-3773

Schwachstelle in Spring Web Services ermöglicht XML-External-Entity-Angriff

CVE-2019-3774

Schwachstelle in Spring Batch ermöglicht XML-External-Entity-Angriff

CVE-2020-10683

Schwachstelle in dom4j ermöglicht XML-External-Entity-Angriff

CVE-2020-10740

Schwachstelle in Wildfly ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11612

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2020-11971

Schwachstelle in Apache Camel ermöglicht Ausspähen von Informationen

CVE-2020-11972

Schwachstelle in Apache Camel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11973

Schwachstelle in Apache Camel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11980

Schwachstelle in Apache Karaf ermöglicht u. a. Eskalation von Privilegien

CVE-2020-11989

Schwachstelle in Apache Shiro ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-11994

Schwachstelle in Apache Camel ermöglicht u. a. Ausspähen von Informationen

CVE-2020-13692

Schwachstelle in PostgreSQL JDBC Driver ermöglicht XML-External-Entity-Angriff

CVE-2020-13933

Schwachstelle in Apache Shiro ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-14326

Schwachstelle in RESTEasy ermöglicht Denial-of-Service-Angriff

CVE-2020-1714

Schwachstelle in Keycloak ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-1719

Schwachstelle in Wildfly ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-1950

Schwachstelle in Apache Tika ermöglicht Denial-of-Service-Angriff

CVE-2020-1960

Schwachstelle in Apache Flink ermöglicht u. a. Ausspähen von Informationen

CVE-2020-5398

Schwachstelle in Oracle MySQL Enterprise Monitor rmöglicht komplette Kompromittierung der Software

CVE-2020-7226

Schwachstelle in Cryptacular ermöglicht einen Denial-of-Service-Angriff

CVE-2020-9488

Schwachstelle in Apache Log4j ermöglicht Ausspähen von Informationen

CVE-2020-9489

Schwachstelle in Apache Tika ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.