Release Notes für Allegra Release 7.5.1

Wichtige Sicherheitsverbesserungen und Fehlerbehebungen

Wir freuen uns, Ihnen die Version 7.5.1 von Allegra vorstellen zu können, die wichtige Sicherheitsverbesserungen und Erweiterungen für eine bessere Benutzerfreundlichkeit enthält. Dieses Update ist Teil unseres Engagements, Ihnen kontinuierlich ein sicheres und effizientes Produkt anzubieten.

Um die unten aufgeführten Sicherheitslücken zu schließen, wird dringend empfohlen, auf die neueste Allegra-Version 7.5.1 zu aktualisieren. Bei der Installation wird für jedes in der Tabelle unten aufgeführte ZDI CAN, außer ZDI-CAN-22360, ein Fix angewendet. Cloud-Kunden müssen keine Maßnahmen ergreifen, da wir ihre Instanzen unmittelbar nach der Offenlegung aktualisiert haben.

Weiterer Hinweis zu ZDI-CAN-22360 für On-Premise-Kunden: Bitte überprüfen Sie, ob Sie das Allegra Datenbank-Standardpasswort nach der Installation geändert haben.

Sie können die neueste Allegra-Version 7.5.1 hier herunterladen.

Die Allegra-Version 7.5.1 enthält Korrekturen zur Sicherheitsverstärkung für die folgenden Probleme:

ZDI CAN	Betroffene Produkte	CVSS Score + Vector	Beschreibung
ZDI-CAN-22507	Allegra älter als 7.5.1	7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	Eine Schwachstelle für willkürlichen Dateizugriff, die von authentifizierten Benutzern ausgenutzt werden kann, einschließlich solcher mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann.
ZDI-CAN-22530	Allegra älter als 7.5.1	7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
ZDI-CAN-22532	Allegra älter als 7.5.1	7.5 – HIgh CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	Unauthentifizierte Schwachstelle für willkürlichen Dateizugriff. Sie erfordert das Vorhandensein des Verzeichnisses C:\Allegra\plugins\tp-math.
ZDI-CAN-22513	Allegra älter als 7.5.1	7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	Ausführung von Remote-Code nach Authentifizierung aufgrund einer Verzeichnistraversierungs-Schwachstelle während der Backup-Wiederherstellungsoperation. Admin-Rechte sind für die Ausnutzung erforderlich.
ZDI-CAN-22512	Allegra älter als 7.5.1	9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	Unauthentifizierte Remote-Code-Ausführung aufgrund unzureichender Zugriffskontrolle in der Struts "SiteConfigAction"-Aktion der Allegra-Software.
ZDI-CAN-22510	Allegra Välter als 7.5.1	7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	Post-Authentifizierung Remote-Code-Ausführung aufgrund einer Directory-Traversierungs-Schwachstelle in der Methode uploadFile der Klasse BrandingAction. Administratorenrechte sind für die Ausnutzung erforderlich.
ZDI-CAN-22548	Allegra älter als 7.5.1	9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	Remote-Code-Ausführung, die von jedem authentifizierten Benutzer ausgenutzt werden kann, einschließlich derjenigen mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann.
ZDI-CAN-22506	Allegra älter als 7.5.1
ZDI-CAN-22505	Allegra älter als 7.5.1
ZDI-CAN-22504	Allegra älter als 7.5.1	7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	Nach der Authentifizierung erfolgt eine Remote-Code-Ausführung aufgrund einer Verzeichnistraversierbarkeitslücke während eines Datei-Upload-Vorgangs. Admin-Berechtigungen sind für die Ausnutzung erforderlich.
ZDI-CAN-22528	Allegra älter als 7.5.1	7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
ZDI-CAN-22527	Allegra älter als 7.5.1	7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
ZDI-CAN-22361	Allegra älter als 7.5.1	9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	Verzeichnistraversierungs-Authentifizierungsbypass-Schwachstelle.
ZDI-CAN-22360	Allegra älter als 7.5.1	9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	Authentifizierungsbypass aufgrund von festcodierten Anmeldeinformationen. Der kritische Aspekt dieser Schwachstelle liegt darin, dass jede Allegra-Installation dasselbe standardmäßige Datenbankpasswort verwendet, das möglicherweise nach der Installation nicht geändert wird. Diese Schwachstelle betrifft nur Kunden mit On-Premise-Installationen. Wir empfehlen dringend, die Datenbankpasswörter nach der Installation von Allegra zu ändern.