DFN-CERT-2016-1128 Red Hat JBoss A-MQ, JBoss Fuse: Mehrere Schwachstellen ermöglichen u.a. das Darstellen falscher Informationen [Linux][RedHat]

DFN-CERT portal at dfn-cert.de
Thu Jul 14 14:05:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  RedHat JBoss A-MQ < 6.2.1 Rollup Patch 3
  RedHat JBoss Fuse < 6.2.1 Rollup Patch 3
  

Betroffene Plattformen:

  RedHat JBoss A-MQ
  RedHat JBoss Fuse
  


Mehrere Schwachstellen in ActiveMQ ermöglichen einem entfernten, auch nicht
authentifizierten Angreifer das Darstellen falscher Informationen sowie das
Durchführen von Cross-Site-Scripting (XSS)-Angriffen vermöge derer u.a.
Informationen ausgespäht werden können.

Red Hat stellt 'Rollup Patch 3' für Red Hat JBoss A-MQ 6.2.1 und Red Hat
JBoss Fuse 6.2.1 als Sicherheitsupdates bereit.


Patch:

  Red Hat Security Advisory RHSA-2016:1424

  <http://rhn.redhat.com/errata/RHSA-2016-1424.html>


CVE-2016-0782: Schwachstellen in ActiveMQ ermöglichen
  Cross-Site-Scripting-Angriffe

  Es existieren mehrere nicht näher beschriebene
  Cross-Site-Scripting-Schwachstellen in der Web-Konsole in ActiveMQ aufgrund
  unzureichender Überprüfung von Benutzereingaben sowie falscher Konfiguration
  von Berechtigungen auf Jolokia. Zudem ist es möglich einen
  Java-Speicherauszug in einem beliebigen Pfad zu erstellen. Ein entfernter,
  einfach authentifizierter Angreifer kann Cross-Site-Scripting-Angriffe
  durchführen und dadurch u.a. Informationen ausspähen.


CVE-2016-0734: Schwacshtelle in ActiveMQ ermöglicht Darstellen falscher
  Informationen

  Es existiert eine Clickjacking-Schwachstelle in der ActiveMQ Web-Konsole,
  weil in HTTP-Antworten der X-Frame-Options-Header nicht gesetzt wird.
  Dadurch ist es möglich, die Konsole in Frames oder iFrames einzubetten und
  Benutzer dazu zu verleiten unbeabsichtigte Aktionen in der Konsole
  auszuführen. Ein entfernter, nicht authentifizierter Angreifer kann
  Informationen falsch darstellen und so einen Clickjacking-Angriff
  durchführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1128/>

Schwachstelle CVE-2016-0734 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0734>

Schwachstelle CVE-2016-0782 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0782>

Red Hat Security Advisory RHSA-2016:1424:
  <http://rhn.redhat.com/errata/RHSA-2016-1424.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160714/7d881e4d/attachment.bin>


More information about the Security-Announce mailing list