Workaround verfügbar

Schwachstelle in Oracle Mojarra betrifft auch Apache-Software

Eine Sicherheitslücke in Oracle Mojarra 2.x lässt sich für Umgehung der Sicherheitsrichtlinien ausnutzen.

Auslöser der Sicherheitslücke ist ein Fehler beim Parsen von Parametern in einer Java Bean. Ein erfolgreicher Angriff setzt voraus, dass includeViewParameters auf true innerhalb der Java Bean gesetzt ist. Betroffen ist Mojarra 2.x und die Lücke ist als weniger kritisch eingestuft. Ein Update ist derzeit nicht verfügbar, allerdings gibt es einen Workaround: java.net

Von derselben Sicherheitslücke ist auch Apache MyFaces 2.1.x betroffen. Auch hier gilt die Schwachstelle als weniger kritisch und lässt sich für Umgehung von Sicherheitsrichtlinien ausnutzen: issues.apache.org (jdo)