2023-1512: Red Hat Fuse: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2023-06-30 13:51)

Neues Advisory

Betroffene Software

Entwicklung
Middleware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Server-Side-Request-Forgery (SSRF)- und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Red Hat stellt Red Hat Fuse 7.12 als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2012-5783

Schwachstelle in HTTPClient erlaubt Umgehen von Sicherheitsvorkehrungen

CVE-2020-13956

Schwachstelle in Apache HttpComponents HttpClient ermöglicht u. a. Manipulation von Daten

CVE-2022-24785

Schwachstelle in Moment.js ermöglicht Manipulation von Dateien

CVE-2022-31692

Schwachstelle in Spring Security ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-36437

Schwachstelle in Hazelcast ermöglicht u. a. Manipulation von Dateien

CVE-2022-38398

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-38648

Schwachstelle in Apache Batik ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-40146

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2022-41704

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2022-41854

Schwachstelle in SnakeYAML ermöglicht Denial-of-Service-Angriff

CVE-2022-41881

Schwachstelle in Netty ermöglicht Denial-of-Service-Angriff

CVE-2022-41940

Schwachstelle in Engine.IO ermöglicht Denial-of-Service-Angriff

CVE-2022-41946

Schwachstelle in PostgreSQL JDBC ermöglicht Ausspähen von Informationen

CVE-2022-41966

Schwachstelle in XStream ermöglicht Denial-of-Service-Angriff

CVE-2022-42890

Schwachstelle in Apache Batik ermöglicht Ausspähen von Informationen

CVE-2022-42920

Schwachstelle in BCEL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-4492

Schwachstelle in Undertow ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45143

Schwachstelle in Apache Tomcat ermöglicht Manipulation von Dateien

CVE-2022-46363

Schwachstelle in Apache CXF ermöglicht Ausspähen von Informationen

CVE-2022-46364

Schwachstelle in Apache CXF ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2023-1108

Schwachstelle in Undertow ermöglicht Denial-of-Service-Angriff

CVE-2023-1370

Schwachstelle in Json-smart ermöglicht Denial-of-Service-Angriff

CVE-2023-20860

Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-20861

Schwachstelle in Spring Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-20883

Schwachstelle Spring Boot ermöglicht Denial-of-Service-Angriff

CVE-2023-22602

Schwachstelle in Apache Shiro ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-33201

Schwachstelle in Bouncy Castle ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.