2021-1736: Red Hat JBoss Fuse: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2021-08-12 16:30)

Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode und SQL-Programmcode auszuführen sowie Cross-Site-Scripting (XSS)-, HTTP-Request-Smuggling-, Server-Side-Request-Forgery (SSRF)-, Denial-of-Service (DoS)-, einen Directory-Traversal- und weitere nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Red Hat stellt Red Hat Fuse 7.9.0 als Ersatz für Red Hat Fuse 7.8 als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2017-18640

Schwachstelle in Prometheus JMX Exporter / SnakeYAML ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-5645

Schwachstelle in Apache Log4j ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-12402

Schwachstelle in Apache Commons Compress ermöglicht Denial-of-Service-Angriff

CVE-2019-14887

Schwachstelle in Wildfly ermöglicht u. a. Ausspähen von Informationen

CVE-2019-16869

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2019-20445

Schwachstelle in Netty ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-10688

Schwachstelle in RESTEasy ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-10693

Schwachstelle in Hibernate Validator ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-10714

Schwachstelle in Wildfly Elytron ermöglicht u. a. Manipulation von Dateien

CVE-2020-10719

Schwachstelle in Undertow ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-11996

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2020-13920

Schwachstelle in Apache ActiveMQ ermöglicht Ausspähen von Informationen

CVE-2020-13934

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2020-13935

Schwachstelle in Apache Tomcat ermöglicht Denial-of-Service-Angriff

CVE-2020-13936

Schwachstelle in Apache Velocity Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-13954

Schwachstelle in Apache CXF ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2020-14040

Schwachstelle in Google Go (golang) ermöglicht Denial-of-Service-Angriff

CVE-2020-14297

Schwachstelle in Wildfly ermöglicht Denial-of-Service-Angriff

CVE-2020-14338

Schwachstelle in Wildfly ermöglicht Manipulation von Dateien

CVE-2020-14340

Schwachstelle in xnio ermöglicht Denial-of-Service-Angriff

CVE-2020-1695

Schwachstelle in RESTEasy ermöglicht nicht näher spezifizierten Angriff

CVE-2020-17510

Schwachstelle in Apache Shiro ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-17518

Schwachstelle in Apache Flink ermöglicht Manipulation von Dateien

CVE-2020-1925

Schwachstelle in Apache Olingo ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-1935

Schwachstelle in Apache Tomcat ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-1938

Schwachstelle in Apache Tomcat ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-25633

Schwachstelle in RESTEasy ermöglicht Ausspähen von Informationen

CVE-2020-25638

Schwachstelle in Hibernate ermöglicht Ausführen beliebigen SQL-Programmcodes

CVE-2020-25640

Schwachstelle in WildFly ermöglicht Ausspähen von Informationen

CVE-2020-25644

Schwachstelle in WildFly OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-26258

Schwachstelle in XStream ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-26945

Schwachstelle in MyBatis ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-27216

Schwachstelle in Jetty ermöglicht Privilegieneskalation

CVE-2020-28052

Schwachstelle in Bouncy Castle ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-5410

Schwachstelle in Spring Cloud Config ermöglicht Directory-Traversal-Angriff

CVE-2020-5421

Schwachstelle in Oracle MySQL ermöglicht u. a. Manipulation von Daten

CVE-2020-6950

Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von Informationen

CVE-2020-9484

Schwachstelle in Apache Tomcat ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-27807

Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-Angriff

CVE-2021-27906

Schwachstelle in Apache PDFBox ermöglicht Denial-of-Service-Angriff

CVE-2021-28165

Schwachstelle in Jetty ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.