BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- Tech-Nachrichten //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:19208b85-a07f-4845-aab3-4537b63ef178
DTSTAMP:20260717T051822Z
CREATED:20260717T051822Z
SUMMARY:Sicherheitslücke in d.3 Server geschlossen
DESCRIPTION:https://tech-nachrichten.de/sicherheitsluecke-in-d-3-server-geschlossen/ - Artikel vom: Mo.\, 4. April 2022\, 18:16:32 - DV-SEC-2022-02: Schwachstelle in der d.velop documents Komponente d.3 server\n \nUnser Partner d.velop hat außerplanmäßig sein Software-Portfolio einer vollständigen Sicherheitsprüfung unterzogen und dabei eine Schwachstelle identifiziert\, über welche wir hier informieren wollen. Der d.3 Server ist beim #s.dok Archiv im Einsatz.\n \nBetroffen von der Schwachstelle sind die Versionen " d.3 Server 8.1.0.67 und älter" (also auch die Versionen 6.x\, 7.x oder 8.0.x)\, sowie die Versionen "Current 2022.Q1 Patch 02" und älter.\n \nDetails zur Schwachstelle:\n \nEin Angreifer mit einer gültigen Benutzersitzung kann...\n \n- über eine "Remote-Code-Execution"-Schwachstelle der API das System potenziell unter seine Kontrolle zu bringen. Bewertung: 9.9 (Critical)- über eine "SQL-Injection"-Schwachstelle der API Zugriff auf die d.velop documents-Datenbank erhalten. Bewertung: 9.9 (Critical)- durch eine nicht ausreichende Rechte-Prüfung der API Zugriff auf Dokumenteigenschaften aller Dokumente erhalten. Bewertung: 6.5 (Medium)- durch eine nicht ausreichende Rechte-Prüfung über mehrere miteinander kombinierte API-Aufrufe Zugriff auf alle Dokumente im System erhalten. Bewertung: 5.3 (Medium)\n \nDie technische Hürde\, diese Sicherheitslücke auszunutzen\, bewertet d.velop allerdings als sehr hoch: Zum einen sind sehr detaillierte\, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar: D.h. nur ein Angreifer aus Ihrem Netz wäre in der Lage diese Sicherheitslücke auszunutzen.\n \nDie Sicherheitslücke wurde im Rahmen einer internen Überprüfung entdeckt und nicht von Dritten an d.velop gemeldet. D.velop hat bisher auch keine Ausnutzung der Schwachstellen bei Kunden beobachtet.\n \nDa diese Lücke aber grundsätzlich einen un-autorisierten Zugriff auf die Daten im d.3-System ermöglichen könnte\, empfehlen auch wir dieses Fehlverhalten abzustellen.Für Fragen und Rückmeldungen zu diesem Sachverhalt oder einer Update Beratung wenden Sie sich bitte über das Extranet an den Support. Bitte geben Sie in der Betreffzeile die Kennung "s.dok: DV-SEC-2022-02" an.\n \nWichtig: Bitte stellen Sie grundsätzlich immer sicher\, Ihre Installation immer auf dem aktuellen Stand zu halten.
LOCATION:https://tech-nachrichten.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260717T070000Z
DTEND:20260717T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for Sicherheitslücke in d.3 Server geschlossen
END:VALARM
END:VEVENT
END:VCALENDAR
