2021-2620: Red Hat JBoss Fuse, Log4j: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-12-15 15:01)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen, Server-Side-Request-Forgery (SSRF)-Angriffe, HTTP-Request-Smuggling-Angriffe, einen Cross-Site-Scripting (XSS)-Angriff sowie verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine weitere Schwachstelle erlaubt einem Angreifer mit physischem Zugriff auf ein betroffenes System Privilegien zu eskalieren.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Red Hat veröffentlicht die Red Hat Fuse Version 7.10.0, um die referenzierten Schwachstellen zu beheben, zu denen auch die als Log4Shell bekannte Schwachstelle CVE-2021-44228 gehört.
Schwachstellen:
CVE-2019-10744
Schwachstelle in lodash ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-12415
Schwachstelle in Oracle Fusion Middleware ermöglicht Ausspähen von InformationenCVE-2020-11987
Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-AngriffCVE-2020-11988
Schwachstelle in Apache XML Graphics Commons ermöglicht Server-Side-Request-Forgery-AngriffCVE-2020-13943
Schwachstelle in Apache Tomcat ermöglicht Auspähen von InformationenCVE-2020-13949
Schwachstelle in Red Hat OpenShift Jaeger ermöglicht Denial-of-Service-AngriffCVE-2020-15522
Schwachstelle in Bouncy Castle ermöglicht Ausspähen von InformationenCVE-2020-17521
Schwachstelle in Apache Groovy ermöglicht Ausspähen von InformationenCVE-2020-17527
Schwachstelle in Apache Tomcat ermöglicht Ausspähen von InformationenCVE-2020-26217
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-26259
Schwachstelle in XStream ermöglicht Manipulation von DateienCVE-2020-27218
Schwachstelle in Eclipse Jetty ermöglicht Manipulation von DatenCVE-2020-27223
Schwachstelle in Jetty ermöglicht Denial-of-Service-AngriffCVE-2020-27782
Schwachstelle in Undertow ermöglicht Denial-of-Service-AngriffCVE-2020-28491
Schwachstelle in jackson-databind ermöglicht Denial-of-Service-AngriffCVE-2020-2875
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Manipulation von DatenCVE-2020-2934
Schwachstelle in Oracle MySQL Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-35510
Schwachstelle in jboss-remoting ermöglicht Denial-of-Service-AngriffCVE-2020-9488
Schwachstelle in Apache Log4j ermöglicht Ausspähen von InformationenCVE-2021-20218
Schwachstelle in kubernetes-client ermöglicht u. a. Manipulation von DatenCVE-2021-21290
Schwachstelle in Netty ermöglicht Ausspähen von InformationenCVE-2021-21295
Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-AngriffCVE-2021-21341
Schwachstelle in XStream ermöglicht Denial-of-Service-AngriffCVE-2021-21342
Schwachstelle in XStream ermöglicht Server-Side-Request-Forgery-AngriffCVE-2021-21343
Schwachstelle in XStream ermöglicht Manipulation von DateienCVE-2021-21344
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21345
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21346
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21347
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21348
Schwachstelle in XStream ermöglicht Denial-of-Service-AngriffCVE-2021-21349
Schwachstelle in XStream ermöglicht Ausspähen von InformationenCVE-2021-21350
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21351
Schwachstelle in XStream ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21409
Schwachstelle in Netty ermöglicht HTTP-Request-Smuggling-AngriffCVE-2021-22118
Schwachstelle in Oracle MySQL ermöglicht komplette Kompromittierung der SoftwareCVE-2021-22696
Schwachstelle in Apache CXF ermöglicht Denial-of-Service-AngriffCVE-2021-23926
Schwachstelle in XMLBeans ermöglicht XML-External-Entity-AngriffCVE-2021-27568
Schwachstelle in netplex json-smart ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-28163
Schwachstelle in Jetty ermöglicht Ausspähen von InformationenCVE-2021-28164
Schwachstelle in Jetty ermöglicht Ausspähen von InformationenCVE-2021-28169
Schwachstelle in Jetty ermöglicht Ausspähen von InformationenCVE-2021-28170
Schwachstelle in Jakarta Expression Language ermöglicht Manipulation von DateienCVE-2021-29425
Schwachstelle in Apache Commons IO ermöglicht Path-Traversal-AngriffCVE-2021-30129
Schwachstelle in Apache Mina SSHD Server ermöglicht Denial-of-Service-AngriffCVE-2021-30468
Schwachstelle in Oracle Fusion Middleware ermöglicht Denial-of-Service-AngriffCVE-2021-34428
Schwachstelle in Jetty ermöglicht PrivilegieneskalationCVE-2021-3536
Schwachstelle in WildFly ermöglicht Cross-Site-Scripting-AngriffCVE-2021-3597
Schwachstelle in Undertow ermöglicht Denial-of-Service-AngriffCVE-2021-3629
Schwachstelle in Undertow ermöglicht Denial-of-Service-AngriffCVE-2021-3690
Schwachstelle in Undertow ermöglicht Denial-of-Service-AngriffCVE-2021-37136
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2021-37137
Schwachstelle in Netty ermöglicht Denial-of-Service-AngriffCVE-2021-37714
Schwachstelle in jsoup ermöglicht Denial-of-Service-AngriffCVE-2021-44228
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.