News

i-net Helpdesk Sicherheitsankündigung 2020 Apr 06

Berlin, Apr 06, 2020

Update (APR-23-2020) Es wurde heute ein volles Update in jeder betroffenen Version des i-net HelpDesk bereitgestellt, das weitere Verbesserungen enthält. Wir haben dahingehend diese Sicherheitsankündigung angepasst. Dieses Update sollte auch dann installiert werden, wenn Sie die help.zip-Datei ausgetauscht haben.

Diese Sicherheitsankündigung betrifft eine Sicherheitslücke im i-net HelpDesk Server, die wir mittlerweile in allen Versionen behoben haben. Ein Update Ihres i-net HelpDesk auf die jeweils neueste Version schützt Sie gegen diese Lücke. Sehen Sie dazu den Abschnitt Fix.

Dieses Problem betrifft nur den Server des i-net HelpDesk, nicht die Clients.

Problem: "Improper Path Traversal"

Ausmaß des Problems

Wir stufen diese Sicherheitslücke als kritisch ein, da es einfach ist, sie auszunutzen. Die Lücke ermöglicht einem Angreifer, jede beliebige Datei herunterzuladen, auf die der Server-Prozess des i-net HelpDesk zugreifen kann. Ein Einloggen in den i-net HelpDesk ist dabei nicht notwendig.

Risikobeurteilung

Diese Lücke betrifft jede laufende Instanz des i-net HelpDesk, die für einen Angreifer erreichbar ist. Sie erlaubt dem Angreifer, jede beliebige Datei auf dem Server-System herunterzuladen, wenn der HelpDesk-Server-Prozess Zugang zu dieser Datei hat.

Sie können hier mehr über diese Art des Angriffsvektors erfahren (klassifiziert als CWE-22).

Sicherheitslücke

Wir haben diese Sicherheitslücke in allen betroffenen Versionen behoben und ein Update bereitgestellt.

Diese Sicherheitslücke haben wir in der Common Vulnerabilities Datenbank als CVE-2020-11431 registriert.

Fix

Wir empfehlen dringend, die jeweils neueste Version des i-net HelpDesk zu installieren. Die aktualisierte Version behebt nicht nur das ursprüngliche Problem, sondern enthält weitere Sicherheits-Verbesserungen und Bug-Fixes, die Ihren i-net HelpDesk auf den neuesten Stand bringen.

Wichtig: Bitte installieren Sie dieses Update auch dann, wenn Sie die help.zip-Datei nach der ursprünglichen Ankündigung am 6. April ausgetauscht haben, da dieses Update zusätzliche Fixes und Verbesserungen enthält.

Alle Kunden erhalten ein Mailing mit den entsprechenden Links für das Update. Sollten Sie die Email nicht erhalten oder Fragen zur Installation haben, melden Sie sich bitte unter security@inetsoftware.de.

Weitere Verbesserungen

Um derartige Sicherheitslücken in Zukunft zu verhindern, hat unser Entwicklungsteam analysiert, wie es zu diesem Problem kam und warum es nicht im Vorfeld durch die bestehenden Code-Reviews und Tests abgefangen wurde. Dies hat zu mehreren Änderungen in unserem Entwicklungsablauf geführt, um unsere Software-Qualität noch weiter zu verbessern.

Zusätzlich haben wir unsere umfangreiche Testsuite ergänzt, die nun automatisch all unsere Produkte auf diese Lücke hin überprüfen wird.

Dank und Anerkennung

Wir möchten an dieser Stelle unseren Dank der Firma Secarma aussprechen, die uns dieses Problem in einer vertraulichen, professionellen, und schnellen Art und Weise mitgeteilt haben.

Secarma hat uns mitgeteilt, dass sie planen, zu Ende Juni 2020 alle Details dieser Sicherheitslücke zu veröffentlichen - inklusive den Schritten, um das Problem auszunutzen. Dies unterstützen wir voll und ganz, doch bedeutet das umso mehr, dass es wichtig ist, dass Sie bis dahin den Fix auf Ihrem System installieren.

Fragen?

Sollten Sie weitere Fragen haben zu dieser Sicherheitslücke, können Sie uns gerne kontaktieren, indem Sie eine E-Mail an security@inetsoftware.de senden. Wir werden uns dann baldmöglichst bei Ihnen melden.

Wir entschuldigen uns für dieses Problem. Ihr Vertrauen ist uns äußerst wichtig. Daher können Sie sicher sein, dass wir weiter daran arbeiten werden, dafür zu sorgen, dass solche Probleme extrem selten auftreten und dass wir im Fall der Fälle diese Probleme sofort beheben und Ihnen unverzüglich mitteilen werden.

 

© Copyright 1996 - 2020, i-net software; All Rights Reserved.