Wichtige Sicherheitsverbesserungen und Fehlerbehebungen
Wir freuen uns, Ihnen die Version 7.5.1 von Allegra vorstellen zu können, die wichtige Sicherheitsverbesserungen und Erweiterungen für eine bessere Benutzerfreundlichkeit enthält. Dieses Update ist Teil unseres Engagements, Ihnen kontinuierlich ein sicheres und effizientes Produkt anzubieten.
Um die unten aufgeführten Sicherheitslücken zu schließen, wird dringend empfohlen, auf die neueste Allegra-Version 7.5.1 zu aktualisieren. Bei der Installation wird für jedes in der Tabelle unten aufgeführte ZDI CAN, außer ZDI-CAN-22360, ein Fix angewendet. Cloud-Kunden müssen keine Maßnahmen ergreifen, da wir ihre Instanzen unmittelbar nach der Offenlegung aktualisiert haben.
Weiterer Hinweis zu ZDI-CAN-22360 für On-Premise-Kunden: Bitte überprüfen Sie, ob Sie das Allegra Datenbank-Standardpasswort nach der Installation geändert haben.
Sie können die neueste Allegra-Version 7.5.1 hier herunterladen.
Die Allegra-Version 7.5.1 enthält Korrekturen zur Sicherheitsverstärkung für die folgenden Probleme:
| ZDI CAN | Betroffene Produkte | CVSS Score + Vector | Beschreibung |
| ZDI-CAN-22507 | Allegra älter als 7.5.1 | 7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | Eine Schwachstelle für willkürlichen Dateizugriff, die von authentifizierten Benutzern ausgenutzt werden kann, einschließlich solcher mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann. |
| ZDI-CAN-22530 | Allegra älter als 7.5.1 | 7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| ZDI-CAN-22532 | Allegra älter als 7.5.1 | 7.5 – HIgh CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | Unauthentifizierte Schwachstelle für willkürlichen Dateizugriff. Sie erfordert das Vorhandensein des Verzeichnisses C:\Allegra\plugins\tp-math. |
| ZDI-CAN-22513 | Allegra älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | Ausführung von Remote-Code nach Authentifizierung aufgrund einer Verzeichnistraversierungs-Schwachstelle während der Backup-Wiederherstellungsoperation. Admin-Rechte sind für die Ausnutzung erforderlich. |
| ZDI-CAN-22512 | Allegra älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Unauthentifizierte Remote-Code-Ausführung aufgrund unzureichender Zugriffskontrolle in der Struts "SiteConfigAction"-Aktion der Allegra-Software. |
| ZDI-CAN-22510 | Allegra Välter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | Post-Authentifizierung Remote-Code-Ausführung aufgrund einer Directory-Traversierungs-Schwachstelle in der Methode uploadFile der Klasse BrandingAction. Administratorenrechte sind für die Ausnutzung erforderlich. |
| ZDI-CAN-22548 | Allegra älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Remote-Code-Ausführung, die von jedem authentifizierten Benutzer ausgenutzt werden kann, einschließlich derjenigen mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann. |
| ZDI-CAN-22506 | Allegra älter als 7.5.1 | ||
| ZDI-CAN-22505 | Allegra älter als 7.5.1 | ||
| ZDI-CAN-22504 | Allegra älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | Nach der Authentifizierung erfolgt eine Remote-Code-Ausführung aufgrund einer Verzeichnistraversierbarkeitslücke während eines Datei-Upload-Vorgangs. Admin-Berechtigungen sind für die Ausnutzung erforderlich. |
| ZDI-CAN-22528 | Allegra älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | |
| ZDI-CAN-22527 | Allegra älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | |
| ZDI-CAN-22361 | Allegra älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Verzeichnistraversierungs-Authentifizierungsbypass-Schwachstelle. |
| ZDI-CAN-22360 | Allegra älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Authentifizierungsbypass aufgrund von festcodierten Anmeldeinformationen. Der kritische Aspekt dieser Schwachstelle liegt darin, dass jede Allegra-Installation dasselbe standardmäßige Datenbankpasswort verwendet, das möglicherweise nach der Installation nicht geändert wird. Diese Schwachstelle betrifft nur Kunden mit On-Premise-Installationen. Wir empfehlen dringend, die Datenbankpasswörter nach der Installation von Allegra zu ändern. |
Jörg Friedrich
Senior Advisor
Jörg Friedrich ist der ursprüngliche Autor der Projektmanagement-Software Allegra und begleitet die Entwicklung bis heute. Er hat viele Jahre Industrieerfahrung als Projekt- und Abteilungsleiter. Er ist darüber hinaus als Professor in der Fakultät Informatik und Informationstechnik an der Hochschule Esslingen tätig.