Sicherheitslücke in d.3 Server geschlossen

DV-SEC-2022-02: Schwachstelle in der d.velop documents Komponente d.3 server

Unser Partner d.velop hat außerplanmäßig sein Software-Portfolio einer vollständigen Sicherheitsprüfung unterzogen und dabei eine Schwachstelle identifiziert, über welche wir hier informieren wollen. Der d.3 Server ist beim Archiv im Einsatz.

Betroffen von der Schwachstelle sind die Versionen “ d.3 Server 8.1.0.67 und älter“ (also auch die Versionen 6.x, 7.x oder 8.0.x), sowie die Versionen „Current 2022.Q1 Patch 02“ und älter.

Details zur Schwachstelle:

Ein Angreifer mit einer gültigen Benutzersitzung kann…

– über eine „Remote-Code-Execution“-Schwachstelle der API das System potenziell unter seine Kontrolle zu bringen. Bewertung: 9.9 (Critical)
– über eine „SQL-Injection“-Schwachstelle der API Zugriff auf die d.velop documents-Datenbank erhalten. Bewertung: 9.9 (Critical)
– durch eine nicht ausreichende Rechte-Prüfung der API Zugriff auf Dokumenteigenschaften aller Dokumente erhalten. Bewertung: 6.5 (Medium)
– durch eine nicht ausreichende Rechte-Prüfung über mehrere miteinander kombinierte API-Aufrufe Zugriff auf alle Dokumente im System erhalten. Bewertung: 5.3 (Medium)

Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop allerdings als sehr hoch: Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar: D.h. nur ein Angreifer aus Ihrem Netz wäre in der Lage diese Sicherheitslücke auszunutzen.

Die Sicherheitslücke wurde im Rahmen einer internen Überprüfung entdeckt und nicht von Dritten an d.velop gemeldet. D.velop hat bisher auch keine Ausnutzung der Schwachstellen bei Kunden beobachtet.

Da diese Lücke aber grundsätzlich einen un-autorisierten Zugriff auf die Daten im d.3-System ermöglichen könnte, empfehlen auch wir dieses Fehlverhalten abzustellen.
Für Fragen und Rückmeldungen zu diesem Sachverhalt oder einer Update Beratung wenden Sie sich bitte über das Extranet an den Support. Bitte geben Sie in der Betreffzeile die Kennung „s.dok: DV-SEC-2022-02“ an.

Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.

Verwandte Beiträge
Virenschutz und Systemsicherheit Windows
n rnUm die vorgeschriebenen Mindestanforderungen für ein sicheres System zu bekommen, sollten Sie die folgenden Punkte befolgen:rn* Benutzeranmeldekonto:
Java: Spring4Shell Sicherheitslücke
vor einigen Tagen wurde im #Java Basierten Spring Framework eine kritische #Sicherheitslücke #Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver
Netzwerke – Wireless LAN, WLAN
n rnund der Nachbar kann mitsurfen, und die Möchtegernhacker können meine Daten stehlen!rnrnGegenwärtig lassen sich WLANs nur effektiv mit
Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 30 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.