Jackrabbit lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 1/7/2015

Udviklerne af Apache Jackrabbit har lukket et alvorligt hul i WebDAV-funktionen.

Jackrabbit er et Java-system til håndtering af struktureret information. En sikkerhedsforsker har fundet et sikkerhedshul i XML-parseren.

Angribere kan udnytte sårbarheden til at få adgang til fortrolig information. Det er en sårbarhed af typen XXE (XML External Entity).

Anbefaling
Opdater til Jackrabbit-WebDAV-modul 2.10.1. Hvis det ikke er muligt, er der patches til tidligere versioner, der lukker hullet.

Links

• Jackrabbit WebDAV bundle susceptible to XXE/XEE attack (CVE-2015-1833)
• DSA-3298-1 jackrabbit – Debian sikkerhedsopdatering