Betroffen
Beeinträchtigte Leistung aus 2:37 PM zu 2:36 PM
Beeinträchtigte Leistung aus 2:37 PM zu 2:36 PM
- GelöstGelöst
Wie angekündigt haben wir ab heute die Monitor Desktop-App Version 1.1.4 serverseitig erzwungen. Falls Sie bereits aktualisiert haben, müssen Sie nichts weiter tun. Falls Sie noch nicht aktualisiert hatten, müssen Sie ggf. die Desktop-App manuell erneut starten.
Sie sind nur betroffen, wenn Sie unsere Desktop-App (Windows/Linux) verwenden. Nicht betroffen sind unsere mobilen Apps (iOS/Android).
- ÜberprüfungUpdate
Sicherheitsupdate der Desktop-App wird am 14.11. erzwungen
Aus unseren Metriken ergibt sich, dass ca. 40 % der Installationen der Monitor Desktop App (Windows/Linux) bereits auf die gepatchte Version 1.1.3 aktualisiert haben.
Um alle Anwender der Desktop-App zu erreichen, werden wir serverseitig ein Update auf die neuste Version erzwingen. Dieser Mechanismus stellt sicher, dass das Sicherheitsupdate heruntergeladen und installiert wird.Manueller Neustart notwendig
Diese Maßnahme haben wir bislang nicht ergriffen, da dieser Mechanismus ebenfalls dazu führt, dass sich das Programm selbst schließt und manuell erneut geöffnet werden muss. Falls ein täglicher Autostart per Cron-Job o.ä. bereits eingerichtet ist, wird diese sich zu dem Zeitpunkt in der neuen Version starten.
Version 1.1.4 verbessert Auto-Update
Um zukünftig dringende Sicherheitsupdates der Desktop-App erzwingen zu können, ohne dass Nutzer:innen sie neu öffnen müssen, haben wir am 31.10. eine weitere neue Version mit der Versionsnummer 1.1.4 veröffentlicht. Sie stellt unter Windows und Linux sicher, dass dringende Sicherheitsupdates im Hintergrund installiert werden und danach die App sich selbstständig in der aktualisierten Version öffnet.
Jetzt aktualisieren!
Um einen manuellen Neustart zu vermeiden, sollten Sie bis zum 14.11. auf die neuste Version 1.1.4 aktualisieren. Wie Sie Ihre Version überprüfen und ein Update manuell anstoßen können, haben wir in unserer FAQ beschrieben: https://help.divera247.com/pages/viewpage.action?pageId=119865789
- ÜberprüfungUpdate
Nur NutzerInnen der "Monitor Desktop App" sind betroffen und der Angriffsvektor muss von einem anderen DIVERA 24/7 Nutzer der gleichen Einheit mit Schreibrechten ausgeführt werden. Dann kann es zu einer Command Injection auf dem betroffenen Rechner kommen, der Dienst DIVERA 24/7 ist von der Lücke selbst nicht betroffen.
Aufgrund dieser Einschränkung kommen wir auf einen Base Score von 6.6 gemäß CVSS 3.1
Details:
https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L/E:F/RL:O/RC:CWeitere Details:
https://www.divera247.com/blog/alarmmonitor-updateWeitere Details werden wir nächste Woche veröffentlichen.
- ÜberprüfungÜberprüfung
Das Update "1.1.3" wurde inzwischen ausgerollt und behebt die Schwachstelle.
Übergangsweise wird die Scriptausführung auf Windowsrechnern ggf. nicht funktionieren. Bei Linuxrechnern konnten wir keine Fehler feststellen.
Wir werden dies in der kommenden Woche angehen.Das Update wird automatisch im Hintergrund heruntergeladen, danach ist aber ein Neustart der App notwendig, dieses müssen Sie manuell auslösen!
Die aktuelle Version sehen Sie in den Einstellungen: Einstellungen öffnen oben rechts.
Sollten Sie mit dem neuen Update Probleme haben, zögern Sie bitte nicht und schreiben uns an support@divera247.app!
- IdentifizierungIdentifizierung
Ein Nutzer hat uns über eine mögliche Sicherheitslücke in der Monitor App informiert.
Betroffen sind die Versionen von 0.3.0 bis zu den aktuellen Stable 1.1.2 und dem Beta Release 1.1.3-beta.0.
Diese kann allerdings nur von einem Nutzer mit Schreibrechten innerhalb der gleichen Einheit ausgenutzt werden.
Unsere Analysen zeigen, dass die Sicherheitslücke nicht aktiv ausgenutzt wird. Der mögliche Schaden wäre auch sehr begrenzt. DIVERA 24/7 ist selbst nicht betroffen, sondern der Rechner auf dem die Monitor Desktop App betrieben wird.Wir arbeiten aktuell am Update der Monitor App die die Sicherheitslücke schließt. Dafür muss die Monitor App nach Veröffentlichung einmal Neugestartet werden. Wir informieren hier, sobald das Update zur Verfügung steht.
Hinweis: Die Monitor Desktop App ist eine Zusatzsoftware in der DIVERA 24/7 Monitore im Dauerbetrieb betrieben werden können, z. B. um automatisch Einsatzdepeschen zu Drucken oder Sprachansagen auszuführen. Wer den Monitor in einem regulären Browser verwendet ist von dieser Schwachstelle nicht betroffen. https://help.divera247.com/display/FAQ/Monitor+Desktop+App