Cloud-Foundry-Projekte von Java-Schwachstellen betroffen

Cloud Foundry warnt vor Sicherheitslücken in den Projekten CredHub, Java Buildpack, Ruby Buildpack und dem User Account and Authentication Server (UAA). Grund sind Schwachstellen im verwendeten JDK 8u182. Die jeweils aktuelle Versionen der Projekte sind nicht betroffen. Cloud Foundry stuft die Lücken als kritisch ein und rät zum sofortigen Upgrade auf das aktuelle Release.

Die konkreten Schwachstellen sind als CVE-2018-3180, CVE-2018-3214, CVE-2018-3183 und CVE-2018-3149 geführt. Laut der Mitteilung des Securityteams von Cloud Foundry sind bei CredHub, der zum Verwalten von Credentials wie Passwörtern und Zertifikaten dient, die Releases 1.7.x vor 1.7.9, 1.9.x vor 1.9.9 und 2.1.x vor 2.1.2 betroffen. Bei Java Buildpack sind alle Versionen vor 4.16.1 und von Ruby Buildpack alle Releases vor 1.7.25 verwundbar. Im Identity-Management-Service UAA, der primär als OAuth2-Provider dient, gelten alle Versionen vor 66.0 als unsicher. (rme)