Allegra Release Notes

Release Notes für Allegra Release 7.5.1

von Bence Nagy

Wichtige Sicherheitsverbesserungen und Fehlerbehebungen

Wir freuen uns, Ihnen die Version 7.5.1 von Allegra vorstellen zu können, die wichtige Sicherheitsverbesserungen und Erweiterungen für eine bessere Benutzerfreundlichkeit enthält. Dieses Update ist Teil unseres Engagements, Ihnen kontinuierlich ein sicheres und effizientes Produkt anzubieten.

Um die unten aufgeführten Sicherheitslücken zu schließen, wird dringend empfohlen, auf die neueste Allegra-Version 7.5.1 zu aktualisieren. Bei der Installation wird für jedes in der Tabelle unten aufgeführte ZDI CAN, außer ZDI-CAN-22360, ein Fix angewendet. Cloud-Kunden müssen keine Maßnahmen ergreifen, da wir ihre Instanzen unmittelbar nach der Offenlegung aktualisiert haben.

Weiterer Hinweis zu ZDI-CAN-22360 für On-Premise-Kunden: Bitte überprüfen Sie, ob Sie das Allegra Datenbank-Standardpasswort nach der Installation geändert haben.

Sie können die neueste Allegra-Version 7.5.1 hier herunterladen.

Die Allegra-Version 7.5.1 enthält Korrekturen zur Sicherheitsverstärkung für die folgenden Probleme:

ZDI CAN Betroffene Produkte CVSS Score + Vector Beschreibung
ZDI-CAN-22507 Allegra älter als 7.5.1 7.5 – High
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Eine Schwachstelle für willkürlichen Dateizugriff, die von authentifizierten Benutzern ausgenutzt werden kann, einschließlich solcher mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann.
ZDI-CAN-22530 Allegra älter als 7.5.1 7.5 – High
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
ZDI-CAN-22532 Allegra älter als 7.5.1 7.5 – HIgh
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Unauthentifizierte Schwachstelle für willkürlichen Dateizugriff. Sie erfordert das Vorhandensein des Verzeichnisses C:\Allegra\plugins\tp-math.
ZDI-CAN-22513 Allegra älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Ausführung von Remote-Code nach Authentifizierung aufgrund einer Verzeichnistraversierungs-Schwachstelle während der Backup-Wiederherstellungsoperation. Admin-Rechte sind für die Ausnutzung erforderlich.
ZDI-CAN-22512 Allegra älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Unauthentifizierte Remote-Code-Ausführung aufgrund unzureichender Zugriffskontrolle in der Struts "SiteConfigAction"-Aktion der Allegra-Software.
ZDI-CAN-22510 Allegra Välter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Post-Authentifizierung Remote-Code-Ausführung aufgrund einer Directory-Traversierungs-Schwachstelle in der Methode uploadFile der Klasse BrandingAction. Administratorenrechte sind für die Ausnutzung erforderlich.
ZDI-CAN-22548 Allegra älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Remote-Code-Ausführung, die von jedem authentifizierten Benutzer ausgenutzt werden kann, einschließlich derjenigen mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann.
ZDI-CAN-22506 Allegra älter als 7.5.1
ZDI-CAN-22505 Allegra älter als 7.5.1
ZDI-CAN-22504 Allegra älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Nach der Authentifizierung erfolgt eine Remote-Code-Ausführung aufgrund einer Verzeichnistraversierbarkeitslücke während eines Datei-Upload-Vorgangs. Admin-Berechtigungen sind für die Ausnutzung erforderlich.
ZDI-CAN-22528 Allegra älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
ZDI-CAN-22527 Allegra älter als 7.5.1 7.2 – High
CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
ZDI-CAN-22361 Allegra älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Verzeichnistraversierungs-Authentifizierungsbypass-Schwachstelle.
ZDI-CAN-22360 Allegra älter als 7.5.1 9.8 – Critical
CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Authentifizierungsbypass aufgrund von festcodierten Anmeldeinformationen. Der kritische Aspekt dieser Schwachstelle liegt darin, dass jede Allegra-Installation dasselbe standardmäßige Datenbankpasswort verwendet, das möglicherweise nach der Installation nicht geändert wird. Diese Schwachstelle betrifft nur Kunden mit On-Premise-Installationen. Wir empfehlen dringend, die Datenbankpasswörter nach der Installation von Allegra zu ändern.

Zurück zur Übersicht