Sicherheitsupdates
Alle Sicherheitsrelevanten Änderungen der letzten BCS-Releases
Die regelmäßige Installation von Updates ist eine der wichtigsten Sicherheitsmaßnahmen, auf die Benutzer achten sollten. Wir arbeiten laufend daran, mögliche Sicherheitslücken zu identifizieren und umgehend zu beheben. Aktualisierungen unserer Software umfassen daher auch immer Bugfixes und behobene Sicherheitsrisiken. Updaten Sie daher regelmäßig Ihre BCS-Installation, um vor potenziellen Risiken bestmöglich geschützt zu sein.
Sicher mit der neuesten BCS-Version
Ein Update auf die aktuelle BCS-Version lohnt sich! Die aktuellste BCS-Version enthält immer auch die in vergangenen Releases vorgenommenen Behebungen von Sicherheitslücken.
Wir bewerten die Verwundbarkeit der behobenen Sicherheitslücken nach dem Common Vulnerability Scoring System (CVSS). Dahinter steht eine Methode, die ein qualitatives Maß für den Schweregrad liefert. CVSS ist kein Maß für das Risiko. CVSS besteht aus drei metrischen Gruppen: Base, Temporal und Environmental. Die Basis-Metriken ergeben eine Punktzahl zwischen 0 und 10, die dann durch die Bewertung der zeitlichen und umweltbezogenen Metriken verändert werden kann.
Bei der Farbcodierung des Schweregrades richten wir uns nach den Ratings, die in der CVSS v3.0-Spezifizierung angegeben sind:
Schweregrad | Farbcodierung | Score-Bereich |
---|---|---|
Keiner: Es gibt keine erkennbaren Risiken oder Schwachstellen in dem System oder der Software. | CVSS-Score | 0.0 |
Niedrig: Schwachstellen sind schwer auszunutzen oder erfordern spezielle Bedingungen, die in der Praxis selten vorkommen. Der mögliche Schaden ist begrenzt und oft nicht kritisch. | CVSS-Score | 0.1 - 3.9 |
Medium: Schwachstellen sind relativ leicht auszunutzen und könnten signifikante Auswirkungen auf die Sicherheit haben, aber sie sind nicht unbedingt katastrophal. Ein Angreifer könnte diese Schwachstellen nutzen, um Zugriff zu erhalten oder Daten zu verändern. | CVSS-Score | 4.0 - 6.9 |
Hoch: Schwachstellen sind leicht auszunutzen und könnten zu erheblichen Schäden führen, wie zum Beispiel zur Übernahme von Systemen oder zur Exfiltration von Daten. Sie erfordern oft dringende Maßnahmen zur Behebung. | CVSS-Score | 7.0 - 8.9 |
Kritisch: Schwachstellen sind extrem leicht auszunutzen und können zu einem totalen Systemkompromittieren oder zu massiven Datenverlusten führen. Sie stellen eine unmittelbare Bedrohung dar und erfordern sofortige und umfassende Reaktionen. | CVSS-Score | 9.0 - 10 |
Projektron BCS 24.1
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
In PostgreSQL-Datenbankmanagementsystemen, wurde die Sicherheitslücke CVE-2024-7348 behoben. Die Lücke ist nur für Kunden relevant, die Backups mit dem PostgreSQL-Kommando pg_dump erstellen, anstelle mit BCS-Werkzeugen, und das Backup im laufenden Betrieb durchführen (nicht empfohlen). Es wird allen Kunden empfohlen, auch wenn sie von der Lücke nicht betroffen sind, ihr PostgreSQL-Datenbankmanagementsystem auf die in den Installationsvoraussetzungen angegebene PostgreSQL-Version zu aktualisieren. | CVSS-Score 8.8 | 23.2 |
Der Apache Tomcat, der bei der Installation über den Projektron BCS Installer standardmäßig mitgeliefert wird, wurde aktualisiert auf die Version 9.0.90. Damit wurde eine Sicherheitslücke geschlossen. Wir empfehlen, den in Ihrer Installation vorhandenen Apache Tomcat ebenfalls auf die in den Installationsvoraussetzungen angegebene Version zu aktualisieren. Da Tomcat ausschließlich für Projektron BCS genutzt werden sollte, sollten beim Update des Apache Tomcat nicht benötigte Teile der Installation entfernt werden. Entfernen Sie bitte Dateien und Verzeichnisse im Verzeichnis /tomcat/webapps/, um Probleme in Verbindung mit Beispieldateien des Tomcat auszuschließen. Weitere Hinweise zum Update finden Sie auf dem Projektron Supportserver im FAQ-Eintrag 449. | CVSS-Score 7.5 | 23.2 |
Behebt eine Sicherheitslücke in einer von BCS genutzten Javascript-Bibliothek. | CVSS-Score 7.5 | 23.2 |
Behebt Sicherheitslücken in verschiedenen Java-Bibliotheken, die für den E-Mail-Import mit Microsoft Graph benötigt werden. | CVSS-Score 5.5 | 23.4 |
Ein Fehler wurde behoben, durch den in einer Ansicht das Erkennen von Urlaubs- bzw. Krankheitstermine ohne das dafür notwendige Recht möglich war. | CVSS-Score 3.5 | 23.2 |
Projektron BCS 23.4
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
Behebt Sicherheitslücken in verschiedenen Java-Bibliotheken, die für den E-Mail-Import mit Microsoft Graph benötigt werden. | CVSS-Score 5.5 | |
Behebt eine Sicherheitslücke in einer von BCS genutzten Javascript-Bibliothek. | CVSS-Score 7.5 | 23.3 |
Behebt eine Sicherheitslücke in einer von Projektron BCS genutzten Java-Bibliothek, die für E-Rechnungen verwendet wird. | CVSS-Score 8.1 | 23.1 |
Behebt mehrere Sicherheitslücken in einer von Projektron BCS genutzten Java-Bibliothek, die für die Verwaltung von TLS/SSL-Zertifikaten verwendet wird. | CVSS-Score 7.5 | 23.3 |
Behebt eine XSS-Lücke, die mit erhöhten Rechten ausgenutzt werden konnte. | CVSS-Score 4.6 | 23.1 |
Es wurde eine Sicherheitslücke im Kontext der Terminagenda behoben, bei dem der Betreff eines eingeschränkt sichtbaren Termins ermittelt werden konnte. | CVSS-Score 5.3 | 23.1 |
Es wurde eine Sicherheitslücke beim Export von vCards behoben. | CVSS-Score 5.1 | 23.1 |
Es wurden Sicherheitslücken in einer von Projektron BCS verwendeten Java-Bibliothek behoben, die unter Umständen bei der Sicherung und Wiederherstellung von Projektron BCS auftreten konnten. | CVSS-Score 5.5 | 23.2 |
Projektron BCS 23.3
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
Es wurde die Lücke CVE-2024-25710 durch ein Update der von Projektron BCS verwendeten Java-Bibliothek Apache Commons Compress behoben, die primär für das Packen und Entpacken des Projektron BCS Backups genutzt wird. | CVSS-Score 5.5 | 23.2 |
Es wurde die Lücke CVE-2024-26308 durch ein Update der von Projektron BCS verwendeten Java-Bibliothek Apache Commons Compress behoben, die primär für das Packen und Entpacken des Projektron BCS Backups genutzt wird. | CVSS-Score 5.5 | 23.2 |
Ein Fehler wurde behoben, durch den Benutzer möglicherweise nicht abgemeldet wurden, wenn sich ihre Anmeldeberechtigung ändert. | CVSS-Score 1.0 | - |
Dieser Eintrag ist nur relevant, falls Sie den Projekt-E-Mail-Import mit Subversion-Integration verwenden. Beim E-Mail-Import mit aktivierter SVN-Integration war es potentiell möglich, Commit-Objekte importieren zu lassen, die nicht zu tatsächlichen SVN-Commits korrespondieren. Voraussetzung dafür ist die Möglichkeit, dass ein Angreifer in der Lage ist, an das E-Mail-Importkonto beliebige E-Mails zu senden. Um dies zu verhindern, wird für die SVN-Integration nun ein Secret erfordert. Weitere Informationen dazu finden Sie in der Administrationsdokumentation im Kapitel "Subversion Integration". | CVSS-Score 3.9 | - |
Projektron BCS 23.2
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek zur Verarbeitung von JSON. | CVSS-Score 7.5 | 22.4 |
Behebt eine Sicherheitslücke im Bereich BPMN, daher ist dieser Eintrag nur relevant, falls Sie das BPMN-Modul aktiviert haben. | CVSS-Score 8.0 | 22.3 |
Wenn ein Benutzer die Rechte auf ein Ticket ausschließlich über eine Rückfrage erhielt war es möglich, auch nach Beantworten der Rückfrage weiterhin E-Mail-Benachrichtigungen zu diesem Ticket zu erhalten. Das wurde behoben. In diesem Zuge wurde umgestellt, wie sich das Feld "Weitere E-Mail-Adressen" an Tickets verhält. Bisher wurde in Projektron BCS eine zu dieser E-Mail-Adresse gehörende Person gesucht und, insofern eine Person gefunden wurde, die E-Mail an die Hauptaddresse dieser Person verschickt. Das ist nicht mehr der Fall, es wird immer die im Feld eingetragene E-Mail-Adresse verwendet. | CVSS-Score 3.1 | 22.2 |
Alle sicherheitsrelevanten Änderungen der vorherigen Releases
Projektron BCS 23.1
Projektron BCS 23.1
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
Behebt HTML-Injection-Lücken, die beim Versand von E-Mails entstehen konnten. | CVSS-Score 7.7 | 22.3 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die im Zusammenhang mit der Microsoft 365-Schnittstelle verwendet wird. | CVSS-Score 7.5 | 22.3 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zum serverseitigen Zeichnen von Grafiken verwendet wird. | CVSS-Score 7.1 | 22.2 |
Behebt eine persistente Cross-Site-Sicherheitslücke. | CVSS-Score 8.7 | 22.2 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, von der Projektron BCS nicht direkt betroffen ist. Ein Update wird dennoch empfohlen. | CVSS-Score 9.8 | 22.1 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek. | CVSS-Score 6.2 | 22.1 |
Behebt zwei persistente Cross-Site-Scripting-Lücken. | CVSS-Score 8.7 | 22.1 |
Projektron BCS 22.4
Projektron BCS 22.4
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
Behebt eine reflektierte (reflected) Cross-Site-Scripting-Lücke. | CVSS-Score 6.1 | 22.1 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zu einem Denial of Service führen kann. | CVSS-Score 7.5 | 22.1 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek. | CVSS-Score 7.5 | 22.1 |
Behebt 2 Sicherheitslücken in 2 von Projektron BCS verwendeten Bibliotheken, die für den Import und das Versenden von E-Mails über die Microsoft Graph-Schnittstelle genutzt werden. | CVSS-Score 7.5 | 22.1 |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, die nicht direkt von Projektron BCS verwendet wird. Es wird dennoch ein Update von Projektron BCS empfohlen. | CVSS-Score 7.5 | 22.1 |
Projektron BCS 22.3
In dieser Version wurden keine Sicherheislücken identifiziert.
Projektron BCS 22.2
Projektron BCS 22.2
Beschreibung | Verwundbarkeit (CVSS-Score) | Zurückgepflegt zu |
---|---|---|
Behebt eine Sicherheitslücke in einer von BCS genutzten Javascript-Bibliothek, die in mehreren Ansichten verschiedener Projektron BCS-Bereiche Verwendung findet. | CVSS-Score 7.5 | 22.1 |