Kurzinfo CB-K15/0429 Update 3

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Apache Taglib: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes
Datum: 05.02.2016
Software: Taglib
Plattform: RedHat JBoss Enterprise Application Platform < 6.4.6 EL5, RedHat JBoss Enterprise Application Platform < 6.4.6 EL6, RedHat JBoss Enterprise Application Platform < 6.4.6 EL7, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 14.10, openSUSE 13.1, openSUSE 13.2, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2015-0254
Bezug: Ubuntu Security Notice USN-2551-1
Beschreibung

Die Apache Standard Taglib ist eine Implementierung der JSP Standard Tag Library (JSTL), welche eine Komponente der Java EE Web Application Development Platform darstellt.

Eine Schwachstelle in der Apache Standard Taglib ermöglicht einem entfernten, nicht authentifizierten Angreifer durch präparierte XML-Objekte beliebigen Programmcode oder andere XML-Objekt-Angriffe auszuführen. Canonical adressiert die Schwachstelle für Ubuntu 14.10 und Ubuntu 14.04 LTS. Update: Für die Red Hat JBoss Enterprise Application Platform stehen Sicherheitsupdates auf die Programmversion 6.4.6 als Ersatz für Version 6.4.5 für Red Hat Enterprise Linux 5, 6 und 7 bereit. Red Hat weist darauf hin, dass Nutzer der 'Tag Library' nach Einspielen des Sicherheitsupdates zusätzliche Schritte durchführen müssen, um wirkungsvoll gegen die Schwachstelle geschützt zu sein (siehe Referenzen).

  1. Schwachstelle CVE-2015-0254 (NVD)

  2. Ubuntu Security Notice USN-2551-1

  3. Red Hat Security Advisory RHSA-2015:1695

  4. openSUSE Security Update openSUSE-SU-2015:1751-1

  5. Red Hat Security Advisoary RHSA-2016:0125

  6. Red Hat Security Advisory RHSA-2016:0121

  7. Red Hat Security Advisory RHSA-2016:0122

  8. Red Hat Security Advisory RHSA-2016:0123

  9. Red Hat Security Advisory RHSA-2016:0124

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.