{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "JBoss Fuse ist ein Open Source Enterprise Service Bus (ESB).\r\nJBoss A-MQ ist eine Messaging-Plattform.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in Red Hat JBoss Fuse und Red Hat JBoss A-MQ ausnutzen, um einen Denial of Service Angriff durchzuführen, Sicherheitsmechanismen zu umgehen oder Informationen offenzulegen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Linux",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0720 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2017/wid-sec-w-2023-0720.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0720 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0720"
    }, {
      "category" : "external",
      "summary" : "IBM Security Bulletin 6965698 vom 2023-03-23",
      "url" : "https://www.ibm.com/support/pages/node/6965698"
    }, {
      "category" : "external",
      "summary" : "Red Hat Security Advisory RHSA-2017:3115 vom 2017-11-02",
      "url" : "https://access.redhat.com/errata/RHSA-2017:3115"
    }, {
      "category" : "external",
      "summary" : "Debian Security Advisory DLA 2184 vom 2020-04-25",
      "url" : "https://lists.debian.org/debian-lts-announce/2020/debian-lts-announce-202004/msg00017.html"
    } ],
    "source_lang" : "en-US",
    "title" : "Red Hat JBoss: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2023-03-22T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:47:08.056+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0720",
      "initial_release_date" : "2017-11-02T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2017-11-02T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initial Release"
      }, {
        "date" : "2017-11-02T23:00:00.000+00:00",
        "number" : "2",
        "summary" : "Version nicht vorhanden"
      }, {
        "date" : "2020-04-26T22:00:00.000+00:00",
        "number" : "3",
        "summary" : "Neue Updates von Debian aufgenommen"
      }, {
        "date" : "2023-03-22T23:00:00.000+00:00",
        "number" : "4",
        "summary" : "Neue Updates von IBM aufgenommen"
      } ],
      "status" : "final",
      "version" : "4"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Debian Linux",
        "product" : {
          "name" : "Debian Linux",
          "product_id" : "2951",
          "product_identification_helper" : {
            "cpe" : "cpe:/o:debian:debian_linux:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Debian"
    }, {
      "branches" : [ {
        "category" : "product_name",
        "name" : "IBM Tivoli Network Manager 4.2.0",
        "product" : {
          "name" : "IBM Tivoli Network Manager 4.2.0",
          "product_id" : "T025751",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:ibm:tivoli_network_manager:4.2.0"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "IBM"
    }, {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Red Hat JBoss A-MQ 6.3",
        "product" : {
          "name" : "Red Hat JBoss A-MQ 6.3",
          "product_id" : "T008598",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:redhat:jboss_amq:6.3"
          }
        }
      }, {
        "category" : "product_name",
        "name" : "Red Hat JBoss Fuse 6.3",
        "product" : {
          "name" : "Red Hat JBoss Fuse 6.3",
          "product_id" : "T008597",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:redhat:jboss_fuse:6.3"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Red Hat"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2015-3254",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Red Hat JBoss Fuse und Red Hat JBoss A-MQ. Die Schwachstelle besteht in den Apache Thrift Client-Bibliotheken. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um eine unendliche Rekursion (infinite recursion) über Vektoren mit der Skip-Funktion zu verursachen und in der Folge einen Denial of Service Zustand herbeizuführen."
    } ],
    "product_status" : {
      "known_affected" : [ "T008598", "2951", "T025751", "T008597" ]
    },
    "release_date" : "2017-11-02T23:00:00.000+00:00",
    "title" : "CVE-2015-3254"
  }, {
    "cve" : "CVE-2016-5725",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Red Hat JBoss Fuse und Red Hat JBoss A-MQ. Die Schwachstelle beruht auf einer unzureichenden Prüfung von Berechtigungen in JSch. Ein Angreifer kann dieses zu einem Path Traversal Angriff nutzen und in der Folge beliebige Dateien überschreiben. Zur erfolgreichen Ausnutzung dieser Schwachstelle ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T008598", "2951", "T025751", "T008597" ]
    },
    "release_date" : "2017-11-02T23:00:00.000+00:00",
    "title" : "CVE-2016-5725"
  }, {
    "cve" : "CVE-2016-9878",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Red Hat JBoss Fuse und Red Hat JBoss A-MQ. Die Schwachstelle beruht auf einer unzureichenden Prüfung von Zugriffsberechtigungen im ResourceServlet im Spring Framework. Ein Angreifer kann dieses zu einem \"Path Traversal\" nutzen und in der Folge vertrauliche Informationen offenlegen."
    } ],
    "product_status" : {
      "known_affected" : [ "T008598", "2951", "T025751", "T008597" ]
    },
    "release_date" : "2017-11-02T23:00:00.000+00:00",
    "title" : "CVE-2016-9878"
  } ]
}