Auf dieser Seite informieren wir Sie über:
- Aktuelle Sicherheitslücken
- Betroffene DocBridge® Produkte
- Schritte zur Behebung
Sicherheitswarnungen
und wichtige Kundeninformationen
Sicherheitswarnung
CVE-2023-46604 betreffend Apache ActiveMQ
November 2023 | CVE-2023-46604
Sicherheitslücke in Apache ActiveMQ
- Problem: Eine kritische Sicherheitslücke in Apache ActiveMQ, bekannt als CVE-2023-46604, wurde kürzlich identifiziert.
- Reaktion von Compart: Unmittelbar nach Bekanntwerden haben wir mit der Untersuchung der Auswirkungen auf unsere Produkte und der Entwicklung von Gegenmaßnahmen begonnen.
Details zum Aufklappen - hier klicken
Sicherheitslücke in Apache ActiveMQ: Überblick
- Problem: Eine kritische Sicherheitslücke in Apache ActiveMQ, bekannt als CVE-2023-46604, wurde kürzlich identifiziert.
- Reaktion von Compart: Unmittelbar nach der Entdeckung haben wir mit der Untersuchung der Auswirkungen auf unsere Produkte und der Entwicklung von Gegenmaßnahmen begonnen.
Welche Compart Produkte sind betroffen?
Liste der betroffenen Produkte:
- DocBridge® Pilot (bis Version 3.9.12)
- DocBridge® Mill Plus (bis Version 2.16.0)
- DocBridge® Auditrack (bis Version 1.6.0)
Wie kann die Sicherheitslücke geschlossen werden?
Schritte zur Behebung
- Hotfix: Wenden Sie sich über unser Kundenportal myCompart an den Compart Support
- Patch-Releases: Compart stellt Patch-Releases für die betroffenen Produkte zur Verfügung. Diese stehen auf dem Compart Kundenportal myCompart zum Download bereit.
- Link: https://my.compart.com
Hinweis zu anderen Compart-Produkten
Nicht betroffen: Andere Compart-Produkte außer den oben genannten sind von dieser Sicherheitslücke nicht betroffen.
Empfohlene Sofortmaßnahmen
Generell empfehlen wir folgende Maßnahmen:
- Netzwerksicherheit: Verhindern Sie Zugriffe aus dem öffentlichen Internet auf die betroffenen DocBridge-Produkte.
- Zugriffsbeschränkungen: Beschränken Sie den Zugriff auf die Netzwerkports der DocBridge-Produkte und erlauben Sie nur verifizierten Quellen den Zugang.
- IP-Adressen Verifizierung: Stellen Sie sicher, dass nur verifizierte IP-Adressen Zugang zu den DocBridge-Produkten haben.
- Einschränkung externer Verbindungen: Beschränken Sie externe Serververbindungen auf notwendige IP-Adressen und Domains.
- Load-Balancer-Einstellungen: Erweitern Sie Netzwerkbeschränkungen auf Load-Balancer-Einstellungen, falls verwendet
Zusätzliche Sicherheitsmaßnahmen von Compart
- Interne IT-Systeme: Wir haben alle internen Systeme auf Verwundbarkeiten überprüft und empfohlene Maßnahmen sowie verfügbare Patches angewandt.
- Fortlaufende Überwachung: Wir beobachten die Lage weiterhin und informieren unsere Kunden bei neuen Erkenntnissen umgehend.
Sicherheitswarnung
CVE-2022-22965 ("Spring4Shell")
März 2022 | CVE-2022-22965
Sicherheitslücke im Spring Framework
- Problem: Eine kritische Sicherheitslücke wurde in einem weit verbreiteten Framework für die Entwicklung von Java-basierten Unternehmensanwendungen (Spring Framework) entdeckt und als CVE-2022-22965 veröffentlicht.
- Reaktion von Compart: Unmittelbar nach Bekanntwerden am 31. März 2022 haben wir mit der Untersuchung der Auswirkungen auf unsere Produkte und der Entwicklung von Gegenmaßnahmen begonnen.
Details zum Aufklappen - hier klicken
Sehr geehrte Compart-Kunden,
wie Sie vielleicht aus der Presse erfahren haben, wurde vor kurzem eine Sicherheitslücke in einem weit verbreiteten Framework für die Entwicklung von Java-basierten Unternehmensanwendungen (Spring Framework) entdeckt und als CVE-2022-22965 veröffentlicht. Unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 31. März 2022 hat Compart damit begonnen, mögliche Auswirkungen auf ihre Produkte zu untersuchen und Gegenmaßnahmen zu ergreifen.
Die Sicherheitslücke ist in den folgenden Versionen des Spring-Frameworks behoben:
- 5.3.18+
- 5.2.20+
Die Spring Boot-Versionen 2.5.12 und 2.6.6, die von den oben genannten Versionen abhängen, wurden ebenfalls veröffentlicht. CVE-2022-22965 betrifft nur Spring-Versionen mit Java >/= 9 (Java 8 ist nicht betroffen).
Detaillierte Informationen zur Sicherheitslücke laut
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-I-impacted
- Die Schwachstelle betrifft den Zugriff auf ClassLoader, so dass außer dem spezifischen Angriff, der mit einem Tomcat-spezifischen ClassLoader gemeldet wurde, auch Angriffe auf einen anderen benutzerdefinierten ClassLoader möglich sein können.
- Das Problem bezieht sich auf die Datenbindung, die verwendet wird, um ein Objekt aus Anfrageparametern (entweder Abfrageparameter oder Formulardaten) aufzufüllen. Datenbindung wird für Controller-Methoden-Parameter verwendet, die mit @ModelAttribute oder optional ohne dieses annotiert sind bzw. ohne eine andere Spring Web Annotation.
- Die Sicherheitslücke bezieht sich nicht auf @RequestBody Controller-Methodenparameter (z.B. JSON-Deserialisierung). Allerdings können solche Methoden immer noch anfällig sein, wenn sie einen anderen Methodenparameter haben, der über Datenbindung aus Abfrageparametern gefüllt wird.
Welche Compart Produkte sind betroffen?
Die folgenden Compart-Produkte verwenden Versionen des Spring-Frameworks, die für die Sicherheitslücke CVE-2022-22965 anfällig sind. Sie verwenden jedoch nicht die Annotation für Controller-Methodenparameter mit Datenbindung, die zu der Sicherheitslücke führen:
- DocBridge® Pilot
- DocBridge® Authentifizierung und Autorisierung
- DocBridge® POM (Modul Postoptimierung)
- DocBridge® Delta
- DocBridge® Document Desktop
Welche Maßnahmen ergreift Compart, um das Risiko zu mindern?
Hotfixes
Trotz der Tatsache, dass die im Abschnitt "Welche Compart Produkte sind betroffen?" genannten DocBridge® Produkte die kompromittierte Annotation für die Methodenparameter des Data Binding Controllers nicht verwenden, hat Compart Hotfixes für diese betroffenen Produkte vorbereitet, die das Spring Framework auf Versionen aktualisieren, in denen die Schwachstelle entschärft wurde (5.3.18+ und 5.2.20+, wie oben angegeben).
- Hotfixes sind ab sofort bei der Compart Support-Organisation erhältlich. Patches werden in Kürze auf my.compart.com zum Download zur Verfügung stehen.
- Bitte beachten Sie: Fixes und Patches werden nur für unterstützte Versionen von DocBridge® Produkten bereitgestellt (z.B. Pilot 4.1.0, 4.0.4 und 3.9.10).
Was ist mit anderen Produkten wie DocBridge® Mill und DocBridge® Impress?
- Compart-Produkte, die auf dieser Seite nicht erwähnt werden, verwenden kein Java und sind daher nicht von CVE-2022-22965 betroffen.
Was unternimmt Compart außerdem, um das von Spring4Shell ausgehende Risiko zu minimieren?
Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch alle internen IT-Systeme auf Schwachstellen überprüft, die empfohlenen Gegenmaßnahmen eingeleitet und die verfügbaren Patches installiert. Wir werden die Situation weiterhin genau beobachten und unsere Kunden zeitnah informieren, wenn neue Informationen vorliegen.
Sicherheitswarnung
Log4j2/Log4Shell Vulnerability
Dezember 2021 | CVE-2021-44228
Sicherheitslücke in der Open Source Java-Bibliothek (Log4j2)
- Problem: Eine kritische Sicherheitslücke wurde in einer weit verbreiteten Open Source Java-Bibliothek (Log4j2) festgestellt und als CVE-2021-44228 veröffentlicht
- Reaktion von Compart: Unmittelbar nach Bekanntwerden am 10. Dezember 2021 haben wir mit der Untersuchung der Auswirkungen auf unsere Produkte und der Entwicklung von Gegenmaßnahmen begonnen.
Details zum Aufklappen - hier klicken
Sehr geehrte Compart Kunden,
wie Sie möglicherweise aus der Presse erfahren haben, wurde kürzlich eine Sicherheitslücke in einer weit verbreiteten Open Source Java-Bibliothek (Log4j2) festgestellt und als CVE-2021-44228 veröffentlicht. Compart hat unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 10. Dezember 2021 damit begonnen, mögliche Auswirkungen auf seine Produkte zu untersuchen und Gegenmaßnahmen einzuleiten.
Welche Compart Produkte sind betroffen?
Ein Compart-Produkt verwendet die von der Sicherheitslücke betroffene Bibliothek ( Log4j2 <=2.14.1). Dabei handelt es sich um:
- DocBridge® Impress Designer bis einschließlich Version 2.0.1
Wie kann die Sicherheitslücke geschlossen werden?
DocBridge® Impress Designer bis Version 2.0.1
- Compart empfiehlt Nutzern älterer Versionen ein zeitnahes Upgrade auf die neueste Version des DocBridge® Impress Designers. Neuere Versionen als 2.0.1 werden als Plugin für DocBridge® Central ausgeliefert und sind nicht von der Sicherheitslücke in Log4j2 betroffen.
- Aktuell steht Impress Designer Plugin Version 4.0.1 zur Verfügung. Die Installation erfolgt als NPM Paket, welches Compart Kunden über unsere NPM Registry beziehen können (https://reg-npm.compart.com/).
- Kurzfristig und bis zur Installation des Upgrades empfiehlt Compart seinen Kunden die hier genannten Gegenmaßnahmen https://logging.apache.org/log4j/2.x/security.html zu implementieren. Hinsichtlich der Auswahl der geeigneten Gegenmaßnahme ist zu beachten, dass Version 2.0.1 des DocBridge® Impress Designers Log4j v2.13.3 verwendet. Noch ältere Versionen verwenden Log4j v.2.8.2.
Was ist mit anderen Produkten, wie beispielsweise DocBridge® Pilot oder DocBridge® Mill?
- Andere Produkte als DocBridge® Impress Designer (bis Version 2.0.1) sind von CVE-2021-44228 nicht betroffen.
Was tut Compart darüber hinaus zur Minimierung des durch Log4j2 bestehenden Risikos?
Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch sämtliche interne IT System hinsichtlich ihrer Verwundbarkeit geprüft, die empfohlenen Gegenmaßnahmen eingeleitet sowie verfügbare Patches installiert.
Wir werden die Situation weiterhin genau beobachten und unsere Kunden bei Vorliegen neuer Erkenntnisse zeitnah informieren.
Unser Anliegen
- Wir versuchen stets zeitnah zu handeln und auch zukünftig auftretende Fälle mit höchster Priorität zu klären.
- Bei Fragen nehmen Sie mit uns Kontakt auf: Über Ihre persönlichen Ansprechpartner bei Compart oder über das folgende Formular.