Eine Intrexx-Standardinstallation ist von dem Zero-Day-Exploit (CVE-2015-4852) mit sehr hoher Wahrscheinlichkeit nicht betroffen.
Ein Audit des Intrexx Quellcodes hat darüber hinaus keine Stellen aufgezeigt, an denen Java-Objekte (Ursache des Problems) deserialisiert werden könnten.
Dies gilt insbesondere für Daten, welche über den Webserver an Intrexx übermittelt werden. Eine Angriffsmöglichkeit unter Verwendung der oben genannten Sicherheitslücke ist hier ausgeschlossen.
Diese ersten, intensiven Sourcecode-Analysen zeigen ebenfalls, dass Aufgrund der Intrexx Server Architektur ein Angriff auf den Intrexx-Portalserver über die entdeckte Sicherheitslücke nicht möglich ist. Selbstverständlich prüfen wir weitere mögliche Angriffsvektoren und werden bei Bedarf schnellstmöglich mit einem Online Update reagieren.
Neben der Korrektur von Funktionalitätsmängeln und der Erweiterung der Intrexx Möglichkeiten dienen Online Updates immer auch der Sicherheit der eingesetzten Server. Ein zeitnahes Einspielen von Online Updates wird empfohlen.
Weitere Informationen finden Sie auf "Heise online": http://www.heise.de/newsticker/meldung/Zero-Day-Alarm-fuer-viele-Server-mit-Java-2913605.html
Ein Audit des Intrexx Quellcodes hat darüber hinaus keine Stellen aufgezeigt, an denen Java-Objekte (Ursache des Problems) deserialisiert werden könnten.
Dies gilt insbesondere für Daten, welche über den Webserver an Intrexx übermittelt werden. Eine Angriffsmöglichkeit unter Verwendung der oben genannten Sicherheitslücke ist hier ausgeschlossen.
Diese ersten, intensiven Sourcecode-Analysen zeigen ebenfalls, dass Aufgrund der Intrexx Server Architektur ein Angriff auf den Intrexx-Portalserver über die entdeckte Sicherheitslücke nicht möglich ist. Selbstverständlich prüfen wir weitere mögliche Angriffsvektoren und werden bei Bedarf schnellstmöglich mit einem Online Update reagieren.
Neben der Korrektur von Funktionalitätsmängeln und der Erweiterung der Intrexx Möglichkeiten dienen Online Updates immer auch der Sicherheit der eingesetzten Server. Ein zeitnahes Einspielen von Online Updates wird empfohlen.
Weitere Informationen finden Sie auf "Heise online": http://www.heise.de/newsticker/meldung/Zero-Day-Alarm-fuer-viele-Server-mit-Java-2913605.html
Anhang:
Intrexx Version:
- only
- 7.0
Details:
Kategorie:Security
Betriebssystem:unspecific
Datenbank:unspecific
Stand von:29-06-2022