2021-2008: Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-24 16:27): Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff sowie verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Red Hat stellt für Red Hat JBoss Enterprise Application Platform 7.4 für Red Hat Enterprise Linux (RHEL) 7 und 8 als Sicherheitsupdate Red Hat JBoss Enterprise Application Platform 7.4.1 zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2020-13936

Schwachstelle in Apache Velocity Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-21295

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-21409

Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-28170

Schwachstelle in Jakarta Expression Language ermöglicht Manipulation von Dateien

CVE-2021-29425

Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-Angriff

CVE-2021-3536

Schwachstelle in WildFly ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-3597

Schwachstelle in Undertow ermöglicht Denial-of-Service-Angriff

CVE-2021-3642

Schwachstelle in Wildfly Elytron ermöglicht Ausspähen von Informationen

CVE-2021-3644

Schwachstelle in WildFly ermöglicht u. a. Ausspähen von Informationen

CVE-2021-3690