Auf dieser Seite informieren wir Sie über:
- Aktuelle Sicherheitslücken
- Betroffene DocBridge® Produkte
- Schritte zur Behebung
November 2023 | CVE-2023-46604
Liste der betroffenen Produkte:
Nicht betroffen: Andere Compart-Produkte außer den oben genannten sind von dieser Sicherheitslücke nicht betroffen.
Generell empfehlen wir folgende Maßnahmen:
März 2022 | CVE-2022-22965
Sehr geehrte Compart-Kunden,
wie Sie vielleicht aus der Presse erfahren haben, wurde vor kurzem eine Sicherheitslücke in einem weit verbreiteten Framework für die Entwicklung von Java-basierten Unternehmensanwendungen (Spring Framework) entdeckt und als CVE-2022-22965 veröffentlicht. Unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 31. März 2022 hat Compart damit begonnen, mögliche Auswirkungen auf ihre Produkte zu untersuchen und Gegenmaßnahmen zu ergreifen.
Die Spring Boot-Versionen 2.5.12 und 2.6.6, die von den oben genannten Versionen abhängen, wurden ebenfalls veröffentlicht. CVE-2022-22965 betrifft nur Spring-Versionen mit Java >/= 9 (Java 8 ist nicht betroffen).
Detaillierte Informationen zur Sicherheitslücke laut
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#am-I-impacted
Die folgenden Compart-Produkte verwenden Versionen des Spring-Frameworks, die für die Sicherheitslücke CVE-2022-22965 anfällig sind. Sie verwenden jedoch nicht die Annotation für Controller-Methodenparameter mit Datenbindung, die zu der Sicherheitslücke führen:
Trotz der Tatsache, dass die im Abschnitt "Welche Compart Produkte sind betroffen?" genannten DocBridge® Produkte die kompromittierte Annotation für die Methodenparameter des Data Binding Controllers nicht verwenden, hat Compart Hotfixes für diese betroffenen Produkte vorbereitet, die das Spring Framework auf Versionen aktualisieren, in denen die Schwachstelle entschärft wurde (5.3.18+ und 5.2.20+, wie oben angegeben).
Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch alle internen IT-Systeme auf Schwachstellen überprüft, die empfohlenen Gegenmaßnahmen eingeleitet und die verfügbaren Patches installiert. Wir werden die Situation weiterhin genau beobachten und unsere Kunden zeitnah informieren, wenn neue Informationen vorliegen.
Dezember 2021 | CVE-2021-44228
Sehr geehrte Compart Kunden,
wie Sie möglicherweise aus der Presse erfahren haben, wurde kürzlich eine Sicherheitslücke in einer weit verbreiteten Open Source Java-Bibliothek (Log4j2) festgestellt und als CVE-2021-44228 veröffentlicht. Compart hat unmittelbar nach Bekanntwerden dieser Sicherheitslücke am 10. Dezember 2021 damit begonnen, mögliche Auswirkungen auf seine Produkte zu untersuchen und Gegenmaßnahmen einzuleiten.
Ein Compart-Produkt verwendet die von der Sicherheitslücke betroffene Bibliothek ( Log4j2 <=2.14.1). Dabei handelt es sich um:
Unmittelbar nach Bekanntwerden der Sicherheitslücke wurden neben unserer eigenen Software auch sämtliche interne IT System hinsichtlich ihrer Verwundbarkeit geprüft, die empfohlenen Gegenmaßnahmen eingeleitet sowie verfügbare Patches installiert.
Wir werden die Situation weiterhin genau beobachten und unsere Kunden bei Vorliegen neuer Erkenntnisse zeitnah informieren.