UPDATE: DFN-CERT-2016-1032 JBoss Enterprise Application Platform: Eine Schwachstelle ermöglicht u.a. das Ausspähen von Informationen [Linux][RedHat]

DFN-CERT portal at dfn-cert.de
Fri Jul 22 14:25:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 5 (22.07.2016):
    Red Hat stellt ein Sicherheitsupdate in Form eines asynchronen Patches für
    Red Hat Single Sign-On 7.0 bereit.
  Version 4 (08.07.2016):
    Red Hat stellt ein Sicherheitsupdate für Red Hat JBoss Fuse Service Works
    bereit.
  Version 3 (30.06.2016):
    Für die  Red Hat JBoss Portal Platform 6.2.0 steht ein Sicherheitsupdate
    zur Behebung der Schwachstelle zur Verfügung.
  Version 2 (28.06.2016):
    Für die Red Hat JBoss Data Virtualization steht ein Sicherheitsupdate zur
    Behebung der Schwachstelle zur Verfügung.
  Version 1 (24.06.2016):
    Neues Advisory

Betroffene Software:

  Red Hat JBoss Data Virtualization
  RedHat JBoss Enterprise Application Platform 5 EL4
  RedHat JBoss Enterprise Application Platform 5 EL5
  RedHat JBoss Enterprise Application Platform 5 EL6
  RedHat JBoss Enterprise Application Platform 5.2.0
  RedHat JBoss Enterprise Application Platform 6.4
  RedHat JBoss Enterprise Application Platform 6.4 EL5
  RedHat JBoss Enterprise Application Platform 6.4 EL6
  RedHat JBoss Enterprise Application Platform 7.0
  RedHat JBoss Enterprise Portal Platform 6.2.0
  RedHat JBoss Fuse Service Works 6.0
  Red Hat Single Sign-On 7.0
  

Betroffene Plattformen:

  Red Hat Enterprise Linux 4
  Red Hat Enterprise Linux 5
  Red Hat Enterprise Linux 6
  


Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle im
JGroups-Framework von JBoss ausnutzen, um Sicherheitsvorkehrungen zu umgehen
und Nachrichten innerhalb des Clusters unautorisiert zu senden und zu
empfangen, wodurch das Ausspähen von Informationen, das Fälschen von
Nachrichten und in der Folge weitere Angriffe möglich sind.

Red Hat stellt für die JBoss Enterprise Application Platform 5.2.0 auf Red
Hat Enterprise Linux (RHEL) 4, 5 und 6 sowie 6.4 auf RHEL 5 und 6
Sicherheitsupdates zur Verfügung. Darüber hinaus sind allgemeine
Sicherheitsupdates für die Red Hat JBoss Enterprise Application Platform
5.2.0, 6.4 und 7.0 erhältlich. Die Schwachstelle wird als kritisch
eingestuft.


Patch:

  Red Hat Security Advisory RHSA-2016:1328

  <http://rhn.redhat.com/errata/RHSA-2016-1328.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1329

  <http://rhn.redhat.com/errata/RHSA-2016-1329.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1330

  <http://rhn.redhat.com/errata/RHSA-2016-1330.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1331

  <http://rhn.redhat.com/errata/RHSA-2016-1331.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1332

  <http://rhn.redhat.com/errata/RHSA-2016-1332.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1333

  <http://rhn.redhat.com/errata/RHSA-2016-1333.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1346-1

  <http://rhn.redhat.com/errata/RHSA-2016-1346.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1374-1

  <http://rhn.redhat.com/errata/RHSA-2016-1374.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1389

  <http://rhn.redhat.com/errata/RHSA-2016-1389.html>

Patch:

  Red Hat Security Advisory RHSA-2016:1439-4

  <http://rhn.redhat.com/errata/RHSA-2016-1439.html>


CVE-2016-2141: Schwachstelle in Red Hat JBoss Enterprise Application
  Platform ermöglicht u.a. Ausspähen von Informationen 

  Das JGroups Framework stellt die Funktionalität zur
  Peer-to-Peer-Kommunikation zwischen Knoten (Nodes) in einem JBoss-Cluster
  zur Verfügung. Es besteht eine Schwachstelle in JGroups, da die zur
  Verschlüsselung und Authentifizierung notwendigen Kopfdaten von neuen Nodes
  im Cluster nicht angefordert werden. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1032/>

Red Hat Security Advisory RHSA-2016:1328:
  <http://rhn.redhat.com/errata/RHSA-2016-1328.html>

Red Hat Security Advisory RHSA-2016:1329:
  <http://rhn.redhat.com/errata/RHSA-2016-1329.html>

Red Hat Security Advisory RHSA-2016:1330:
  <http://rhn.redhat.com/errata/RHSA-2016-1330.html>

Red Hat Security Advisory RHSA-2016:1331:
  <http://rhn.redhat.com/errata/RHSA-2016-1331.html>

Red Hat Security Advisory RHSA-2016:1332:
  <http://rhn.redhat.com/errata/RHSA-2016-1332.html>

Red Hat Security Advisory RHSA-2016:1333:
  <http://rhn.redhat.com/errata/RHSA-2016-1333.html>

Schwachstelle CVE-2016-2141 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2141>

Red Hat Security Advisory RHSA-2016:1346-1:
  <http://rhn.redhat.com/errata/RHSA-2016-1346.html>

Red Hat Security Advisory RHSA-2016:1374-1:
  <http://rhn.redhat.com/errata/RHSA-2016-1374.html>

Red Hat Security Advisory RHSA-2016:1389:
  <http://rhn.redhat.com/errata/RHSA-2016-1389.html>

Red Hat Security Advisory RHSA-2016:1439-4:
  <http://rhn.redhat.com/errata/RHSA-2016-1439.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160722/a13c1e2a/attachment.bin>


More information about the Security-Announce mailing list