s.dok (d.3 ECM) jetzt patchen

Sicherheitsupdates gibt es nicht nur wegen LOG4J. Während bei Microsoft am 2. Dienstag im Monat Patchday ist und der Chrome-Browser für Enterprise tagaktuell Sicherheitslücken schließt, hat unser Partner d.velop eine Sicherheitslücke informiert.

Handlungsbedarf für Sie?

Unser Partner d.velop hat im Rahmen einer internen Überprüfung eine potenzielle Sicherheitslücke in einer Komponente von d.3ecm identifiziert, wodurch unter Umständen unberechtigte Zugriffe auf Daten in Ihrem s.dok-System erfolgen könnten. Die Lücke wird von d.velop als kritisch eingestuft. Betroffen sind d.3ecm Versionen ab d.3ecm Current 2020.07 (8.02). 

Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop als sehr hoch. Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar. Da diese Sicherheitslücke aber potenziell zu einem Datenschutzvorfall führen könnte empfehlen auch wir, dieses Fehlverhalten unmittelbar abzustellen. 

Was müssen Sie tun? 

Prüfen Sie bitte, welche d.3ecm Version installiert ist und ob diese Version von der Sicherheitslücke  betroffen ist: 

1. Melden Sie sich mit Windows-Remotedesktop am d.3-Server an. 

2. Öffnen Sie auf dem d.3-Server den „d.velop logfile viewer“ (d.3 logview). 

3. Suchen Sie im Log mit STRG+F nach dem Begriff „server-version:“ 

Beispiel für d.3ecm Current 2020.07: server-version: Current 2020.07 (08.02.00.R38) 

Welche Versionen sind betroffen? 

Current  server-version im LogViewer 
Current 2020.07  08.02.00.R38 
Current 2020.08  08.02.00.R39 
Current 2020.09  08.02.00.R40 
Current 2020.10  08.02.00.R41 
Current 2020.11  08.02.00.R42 
Current 2020.12  08.02.00.R43 
Current 2020.13  08.02.00.R44 
Current 2021.Q1  08.02.00.R45 
Current 2021.Q2 Preview 01  08.02.00.R46 
Current 2021.Q2 Preview 02  8.3.0 
Current 2021.Q2  8.3.1 
Current 2021.Q2 Patch 01  8.3.2 
Current 2021.Q2 Patch 02  8.3.3 
Current 2021.Q3 Preview 01  8.4.0 
Current 2021.Q3 Preview 02  8.5.0 
Current 2021.Q3 Preview 03  8.6.0 
Current 2021.Q3 Preview 04  8.7.0 
Current 2021.Q3   8.7.1 
Current 2021.Q3 Patch 01  8.7.2 
Current 2021.Q3 Patch 02  8.7.3 
Current 2021.Q3 Patch 03  8.7.4 
Current 2021.Q4 Preview 01  8.8.0 
Current 2021.Q4 Preview 02  8.9.0 
Current 2021.Q4 Preview 02 Patch 01  8.9.1 
Current 2021.Q4 Preview 03  8.10.1 
Current 2021.Q4  8.11.0 
Current 2021.Q4 Patch 01  8.11.1 
Current 2021.Q4 Patch 02  8.11.2 
Current 2021.Q4 Patch 03  8.11.2 
Current 2022.Q1 Preview 01  8.12.0 
Current 2022.Q1 Preview 02  8.13.0 
Current 2022.Q1 Preview 03  8.14.0 

Setzen Sie eine der o.a. Versionen ein Installieren Sie bitte den Patch „SECURITY PATCH Current 2020.07 – 2022.Q1 Preview 03“

Ungültige-Download-ID.

Installation des Sicherheitsupdates

1. Melden Sie sich mit Windows-Remotedesktop (mstsc /admin) an Ihrem s.dok-Server an. 

2. Laden Sie das Update über die o.a. Verknüpfungen herunter 

3. Führen Sie die im Paket enthaltene EXE-Datei aus und folgen den Anweisungen: 

Um die Installation für Sie so einfach wie möglich zu gestalten, reicht die alleinige Ausführung des Sicherheitspatches aus. Sie brauchen vorher keine Programme oder Dienste zu beenden oder nach der Installation ein Skript auszuführen. Eine Sicherung Ihrer Daten ist vor der Installation nicht erforderlich. Der Sicherheitspatch wurde so gestaltet, dass nur wenige Komponenten ausgetauscht werden. Nach Abschluss der Installation wird Ihnen ein Dialog angezeigt, der Ihnen mitteilt, ob die Installation erfolgreich war. Falls Sie nicht sicher sind, ob Ihr d.velop documents-System bereits gepatcht wurde, führen Sie die Installation ein weiteres Mal aus. Eine wiederholte Ausführung ist unkritisch. 

Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten. 

Für Fragen und Rückmeldungen zu diesem Sachverhalt oder wenn Sie Unterstützung benötigen, erstellen Sie bitte einen Support-Vorgang über das Extranet. 

Zusammenfassung
  1. Führen Sie die im Paket enthaltene EXE-Datei aus und folgen den Anweisungen:  Um die Installation für Sie so einfach wie möglich zu gestalten, reicht die alleinige Ausführung des Sicherheitspatches aus.
  2.   Für Fragen und Rückmeldungen zu diesem Sachverhalt oder wenn Sie Unterstützung benötigen, erstellen Sie bitte einen Support-Vorgang über das Extranet.
  3. Q4 Preview 02 Patch 01 8.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.