Wie angekündigt haben wir ab heute die Monitor Desktop-App Version 1.1.4 serverseitig erzwungen. Falls Sie bereits aktualisiert haben, müssen Sie nichts weiter tun. Falls Sie noch nicht aktualisiert hatten, müssen Sie ggf. die Desktop-App manuell erneut starten.

Sie sind nur betroffen, wenn Sie unsere Desktop-App (Windows/Linux) verwenden. Nicht betroffen sind unsere mobilen Apps (iOS/Android).

Sicherheitsupdate der Desktop-App wird am 14.11. erzwungen

Aus unseren Metriken ergibt sich, dass ca. 40 % der Installationen der Monitor Desktop App (Windows/Linux) bereits auf die gepatchte Version 1.1.3 aktualisiert haben.
Um alle Anwender der Desktop-App zu erreichen, werden wir serverseitig ein Update auf die neuste Version erzwingen. Dieser Mechanismus stellt sicher, dass das Sicherheitsupdate heruntergeladen und installiert wird.

Manueller Neustart notwendig

Diese Maßnahme haben wir bislang nicht ergriffen, da dieser Mechanismus ebenfalls dazu führt, dass sich das Programm selbst schließt und manuell erneut geöffnet werden muss. Falls ein täglicher Autostart per Cron-Job o.ä. bereits eingerichtet ist, wird diese sich zu dem Zeitpunkt in der neuen Version starten.

Version 1.1.4 verbessert Auto-Update

Um zukünftig dringende Sicherheitsupdates der Desktop-App erzwingen zu können, ohne dass Nutzer:innen sie neu öffnen müssen, haben wir am 31.10. eine weitere neue Version mit der Versionsnummer 1.1.4 veröffentlicht. Sie stellt unter Windows und Linux sicher, dass dringende Sicherheitsupdates im Hintergrund installiert werden und danach die App sich selbstständig in der aktualisierten Version öffnet.

Jetzt aktualisieren!

Um einen manuellen Neustart zu vermeiden, sollten Sie bis zum 14.11. auf die neuste Version 1.1.4 aktualisieren. Wie Sie Ihre Version überprüfen und ein Update manuell anstoßen können, haben wir in unserer FAQ beschrieben: https://help.divera247.com/pages/viewpage.action?pageId=119865789

Nur NutzerInnen der "Monitor Desktop App" sind betroffen und der Angriffsvektor muss von einem anderen DIVERA 24/7 Nutzer der gleichen Einheit mit Schreibrechten ausgeführt werden. Dann kann es zu einer Command Injection auf dem betroffenen Rechner kommen, der Dienst DIVERA 24/7 ist von der Lücke selbst nicht betroffen.
Aufgrund dieser Einschränkung kommen wir auf einen Base Score von 6.6 gemäß CVSS 3.1
Details:
https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L/E:F/RL:O/RC:C

Weitere Details:
https://www.divera247.com/blog/alarmmonitor-update

Weitere Details werden wir nächste Woche veröffentlichen.

Das Update "1.1.3" wurde inzwischen ausgerollt und behebt die Schwachstelle.
Übergangsweise wird die Scriptausführung auf Windowsrechnern ggf. nicht funktionieren. Bei Linuxrechnern konnten wir keine Fehler feststellen.
Wir werden dies in der kommenden Woche angehen.

Das Update wird automatisch im Hintergrund heruntergeladen, danach ist aber ein Neustart der App notwendig, dieses müssen Sie manuell auslösen!

Die aktuelle Version sehen Sie in den Einstellungen: Einstellungen öffnen oben rechts.

Sollten Sie mit dem neuen Update Probleme haben, zögern Sie bitte nicht und schreiben uns an support@divera247.app!