Release Notes

  • Service
  • Release Notes Leser 0.25072600 1709032059

7.5.1 Release Notes

von Bence Nagy

Wichtige Sicherheitsverbesserungen und Fehlerbehebungen

Wir freuen uns, Ihnen die Version 7.5.1 von Allegra vorstellen zu können, die sehr wichtige Sicherheitsverbesserungen und Erweiterungen für eine bessere Benutzerfreundlichkeit enthält. Dieses Update ist Teil unseres Engagements, Ihnen kontinuierlich ein sicheres und effizientes Produkt anzubieten.

Um die unten aufgeführten Sicherheitslücken zu schließen, wird dringend empfohlen, auf die neueste Allegra-Version 7.5.1 zu aktualisieren. Bei der Installation wird für jedes in der Tabelle unten aufgeführte CVE, außer CVE-2023-22360, ein Fix angewendet. Cloud-Kunden müssen keine Maßnahmen ergreifen, da wir ihre Instanzen unmittelbar nach der Offenlegung aktualisiert haben.

Weiterer Hinweis zu CVE-2023-22360 für On-Premise-Kunden: Bitte überprüfen Sie, ob Sie das Allegra Datenbank-Standardpasswort nach der Installation geändert haben.

Sie können die neueste Allegra-Version 7.5.1 hier herunterladen.

Die Allegra-Version 7.5.1 enthält Korrekturen zur Sicherheitsverstärkung für die folgenden Probleme:

CVE-ID Betroffene Produkte CVSS Score + Vector CVE Beschreibung
CVE-2024-22507 Allegra Versionen älter als 7.5.1 7.5 – High
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Eine Schwachstelle für willkürlichen Dateizugriff, die von authentifizierten Benutzern ausgenutzt werden kann, einschließlich solcher mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann.
CVE-2024-22530 Allegra Versionen älter als 7.5.1 7.5 – High
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE-2024-22532 Allegra Versionen älter als 7.5.1 7.5 – HIgh
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Unauthentifizierte Schwachstelle für willkürlichen Dateizugriff. Sie erfordert das Vorhandensein des Verzeichnisses C:\Allegra\plugins\tp-math.
CVE-2024-22513 Allegra Versionen älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Ausführung von Remote-Code nach Authentifizierung aufgrund einer Verzeichnistraversierungs-Schwachstelle während der Backup-Wiederherstellungsoperation. Admin-Rechte sind für die Ausnutzung erforderlich.
CVE-2024-22512 Allegra Versionen älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Unauthentifizierte Remote-Code-Ausführung aufgrund unzureichender Zugriffskontrolle in der Struts "SiteConfigAction"-Aktion der Allegra-Software.
CVE-2024-22510 Allegra Versionen älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Post-Authentifizierung Remote-Code-Ausführung aufgrund einer Directory-Traversierungs-Schwachstelle in der Methode uploadFile der Klasse BrandingAction. Administratorenrechte sind für die Ausnutzung erforderlich.
CVE-2024-22548 Allegra Versionen älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Remote-Code-Ausführung, die von jedem authentifizierten Benutzer ausgenutzt werden kann, einschließlich derjenigen mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann.
CVE-2024-22506 Allegra Versionen älter als 7.5.1
CVE-2024-22505 Allegra Versionen älter als 7.5.1
CVE-2024-22504 Allegra Versionen älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Nach der Authentifizierung erfolgt eine Remote-Code-Ausführung aufgrund einer Verzeichnistraversierbarkeitslücke während eines Datei-Upload-Vorgangs. Admin-Berechtigungen sind für die Ausnutzung erforderlich.
CVE-2023-22528 Allegra Versionen älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2023-22527 Allegra Versionen älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2023-22361 Allegra Versionen älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Verzeichnistraversierungs-Authentifizierungsbypass-Schwachstelle.
CVE-2023-01-22360 Allegra Versionen älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Authentifizierungsbypass aufgrund von festcodierten Anmeldeinformationen. Der kritische Aspekt dieser Schwachstelle liegt darin, dass jede Allegra-Installation dasselbe standardmäßige Datenbankpasswort verwendet, das möglicherweise nach der Installation nicht geändert wird. Diese Schwachstelle betrifft nur Kunden mit On-Premise-Installationen. Wir empfehlen dringend, die Datenbankpasswörter nach der Installation von Allegra zu ändern.

Zurück

Kommentare

Einen Kommentar schreiben

Bitte addieren Sie 3 und 3.