Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0444

Risikostufe 4

Titel:Red Hat JBoss Enterprise Application Platform: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:13.03.2018Software:JBoss EC2 Enterprise Application Platform, Red Hat JBoss Enterprise Application Platform < 7.1.1, Red Hat JBoss Enterprise Application Platform < 7.1.1 EL6, Red Hat JBoss Enterprise Application Platform < 7.1.1 EL7Plattform:Red Hat Enterprise Linux 6, Red Hat Enterprise Linux 7Auswirkung:Ausführen beliebigen Programmcodes mit den Rechten des DienstesRemoteangriff:JaRisiko:hochCVE Liste:CVE-2017-12174, CVE-2017-12196, CVE-2017-15089, CVE-2017-15095, CVE-2017-17485, CVE-2017-7561, CVE-2018-1048, CVE-2018-5968Bezug: Red Hat Security Advisory RHSA-2018:0479

Beschreibung

Das Paket 'JBoss EC2 Enterprise Application Platform' (jboss-ec2-eap) stellt Skripte für die Red Hat JBoss Enterprise Application Platform bereit, die auf der Amazon Web Services (AWS) Elastic Compute Cloud (EC2) betrieben wird.

Die JBoss Enterprise Application Platform ist eine quelloffene Plattform für Anwendungen auf Basis von Java. JBoss Application Server, JBoss Hibernate und JBoss Seam sind Teil des Softwarepaketes.

Mehrere Schwachstellen in den von Red Hat JBoss Enterprise Application Platform bereitgestellten Komponenten Artemis / HornetQ, jackson-databind, RESTEasy und Undertow ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, das Darstellen falscher Informationen und einen Denial-of-Service (DoS)-Angriff. Eine Schwachstelle in Infinispan ermöglicht einem entfernten, einfach authentisierten Angreifer unter Umständen die vollständige Kompromittierung eines Client-Systems. Red Hat stellt Red Hat JBoss Enterprise Application Platform 7.1.1 als Ersatz für die Version 7.1.0 als Sicherheitsupdate für Red Hat Enterprise Linux 6 und 7 sowie zusätzlich entsprechend aktualisierte 'jboss-ec2-eap'-Pakete zur Verfügung.