Am 29.03.2022 wurde bekannt gegeben, dass es eine neue potentielle Sicherheitslücke in den von uns verwendeten Frameworks gibt.
Spring4Shell Exploit – hierzu folgende Hinweise:
https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
Das betroffene Framework wird in den folgenden Services verwendet:
- enteliSAVE
- TrendlogManager
- DeviceMonitor
- DPCounter
Spring4Shell Exploit: Nach aktuellen Informationen der Entwickler des Spring Core Frameworks sind die aufgeführten Produkte auf Grund der Installationskonfiguration durch CVEDMS/-2022DMS/-22965 nicht angreifbar
Ein Patch für die betroffenen Module wird kurzfristig zur Verfügung gestellt.
Historie:
11. Mai 2022: DCGSECDMS/-1 Updates für enteliSAVE, enteliWEB Module DeviceMonitor und enteliSAVE wurden zu Verfügung gestellt. Diese beinhalten alle notwendigen Fixes für die Exploits Spring4Shell und Log4Shell
01. April 2022: DCGSECDMS/-1 enteliSAVE, enteliWEB Module TrendlogManager, DeviceMonitor, DPCounter Nach aktuellen Informationen der Entwickler des Spring Core Frameworks sind die aufgeführten Produkte auf Grund der Installationskonfiguration durch CVEDMS/-2022DMS/-22965 nicht angreifbar. Trotzdem werden wir in den nächsten Tagen neue Versionen unserer Produkte releasen in denen wir eine gepatchte Spring Core Version verwenden werden.
31. März 2022: DCGSECDMS/-1 enteliSAVE, enteliWEB Module TrendlogManager, DeviceMonitor, DPCounter Es liegen Informationen über eine Schwachstelle in der von den aufgeführten Produkten verwendeten Java Bibliothek „Spring Core“ vor. Es ist noch kein Patch verfügbar. Wir prüfen die weitere Entwicklung und informieren Sie an dieser Stelle, sobald uns neue Informationen vorliegen.