iptor.nl

Iptor reactie op Apache Common text kwetsbaarheid (CVE-2022-42889)

Laatst bijgewerkt op 28 oktober 2022


Update 2022-10-28

Apache gemeenschappelijke tekst kwetsbaarheid update.

Iptor Product Development heeft nu een nieuwe versie van XTUI gepubliceerd, genaamd 4.5.1.6.

De Apache gemeenschappelijke tekstbibliotheek is vervangen door versie 1.10.

Neem contact op met uw primaire contactpersoon of Iptor support als u de nieuwe versie wilt laten installeren.

Parallel aan de ontwikkeling van onze eigen nieuwe versie hebben we ook onze partners gevraagd naar hun software.
Momenteel heb ik deze lijst van Iptor partner software.

Alle antwoorden zijn gebaseerd op de laatste versie van de software van elke partner, tenzij anders vermeld.


Partner   Apache kwetsbaarheid impact
Qlik   Wachten op antwoord
Adobe   AEM 6.5 wordt niet beïnvloed
Interform   De laatste versie heeft geen invloed
Corzia   De laatste versie heeft geen invloed
Medius   AP & Capture modules worden niet beïnvloed
Nextway   De laatste versie heeft geen invloed
NiFi   Geïmpacteerd, ze werken aan een update
Xtellus   Wachten op antwoord

Als u meer vragen heeft over onze partner software met betrekking tot deze kwetsbaarheid, neem dan contact op met Iptor support.

Update 2022-10-24

Apache Common Text kwetsbaarheid update.

Het mitigatieactieplan is nu klaar.

De PDF kan hier worden gedownload .

Let erop dat de instructie geldt voor XTUI versie 4.5.x en niet voor oudere versies.

De aanbeveling van Iptor is om altijd de laatste versie te gebruiken.

Als u vragen heeft over het volgen van de instructies, neem dan contact op met Iptor support.

Update 2022-10-21

Apache Common text kwetsbaarheid update

Het werk met een mitigatie actieplan vordert. We denken nog steeds dat het maandag beschikbaar zou moeten zijn. Het kan zijn dat we de hele maandag nodig hebben om te testen, maar ik heb er alle vertrouwen in dat het maandag beschikbaar zal zijn.

Nieuwe versie van XT.

We hebben nu bevestiging van onze PD dat een nieuwe versie, waarin de kwetsbaarheid van de gemeenschappelijke tekst is weggenomen, in de komende week beschikbaar zal zijn.

Houd deze pagina in de gaten om te zien wanneer het uitkomt.

Ik heb een paar vragen gehad over oudere versies van XT.

De verduidelijking hierover is dat Iptor alleen een mitigatie actieplan maakt voor de huidige laatste versie, 4.5.

Oudere versies hadden moeten worden geüpgraded, want die zijn kwetsbaar vanwege de leeftijd van de versie.

De aanbeveling van Iptor is om altijd te upgraden naar de laatste versie.

Er zijn ook vragen gesteld over de webinterface naar XT.

De kwetsbaarheid zit in de installatie van XT. Het gebruik van de webinterface betekent dat de kwetsbaarheid zich bevindt op de server waarop XT draait en daar moet worden beheerd.

Als u de webinterface gebruikt, betekent dit dat u naar de toegangsregels moet kijken om het beveiligingsrisico voor uw organisatie te bepalen.

De XT applicatie geeft u verschillende opties voor de toegang tot de applicatie en Iptor zal een nieuwe versie uitbrengen waar deze kwetsbaarheid is verwijderd, ongeacht hoe u XT gebruikt. De risicobeoordelingen moeten worden gemaakt voor elke omgeving en rekening houdend met hoe de toegang tot XT is gestructureerd en welke beveiligingen er zijn voor die toegang.

Update 2022-10-20

Apache Common text kwetsbaarheid update

De Iptor teams hebben hard gewerkt aan mitigatie actieplannen en levering van de nieuwe XT versie.

Het mitigatieactieplan wordt naar verwachting deze week getest en geverifieerd en zal maandag voor de klanten beschikbaar zijn.

De nieuwe versie van XT is nog in de planningsfase en een verwachte leveringsdatum zal zeer binnenkort worden aangekondigd.

Iptor heeft ook de applicatie XT beveiligd onder de platforms Iptor.com en Iptor 1

De Apache Common Text kwetsbaarheid is de laatste 2-3 dagen op verschillende forums besproken en Iptor heeft het veiligheidsrisico in de situatie bijgewerkt.

De kwetsbaarheid gaat over mogelijke code-injectie en daardoor toegang krijgen tot een server. Als dit wordt uitgebuit, kan de aanvaller zich later in de infrastructuur verplaatsen en mogelijk toegang krijgen tot de gehele bedrijfsomgeving.

De kwetsbaarheid wordt nog steeds beoordeeld als kritiek, 9,8, maar het beveiligingsrisico gaat ook over de mogelijkheid dat dit op een kwaadaardige manier wordt gebruikt.

Instructies over het gebruik van deze kwetsbaarheid staan open op het internet en het vereist geen geavanceerde hackingvaardigheden.

Tegelijkertijd moet de hacker toegang hebben tot waar de applicatie is geïnstalleerd en ook kennis hebben van hoe de applicatie de Apache common text library gebruikt.

Dit betekent dat als de kwetsbare applicatie die u in uw omgeving hebt, alleen voor intern gebruik en achter firewall-, EDR-, IPS- en IDS-beveiliging staat, de aanvaller eerst door die verdediging heen moet komen voordat hij deze kwetsbaarheid kan uitbuiten.

In dat scenario is het veiligheidsrisico kleiner dan wanneer de applicatie die u hebt blootgesteld aan het internet en iedereen van deze kwetsbaarheid gebruik kan maken.

Het totale veiligheidsrisico moet door elke organisatie zelf worden beoordeeld en alle acties moeten worden afgestemd op het veiligheidsrisico dat uit elke beoordeling voortvloeit.

Iptor adviseert om ervoor te zorgen dat de kwetsbaarheid eerst wordt geblokkeerd of beperkt door standaard beveiligingsmaatregelen zoals Firewalls, EDR, IPS en IDS.

Ten tweede raden wij aan het kwetsbare deel van de applicatie te verwijderen indien mogelijk. Voor Iptor XTUI leveren we maandag een actieplan voor mitigatie.

De veiligste manier is om te upgraden en altijd de laatste versie te draaien. Voor XTUI leveren we binnenkort een datum waarop een nieuwe versie van XT beschikbaar komt waarin de Apache-kwetsbaarheid niet aanwezig is.

Update 2022-10-19

Iptor reactie op Apache Common text kwetsbaarheid (CVE-2022-42889)

Er is een nieuwe kwetsbaarheid gevonden in de Apache Common text java library.
Deze kwetsbaarheid maakt remote code execution door onbevoegde gebruikers mogelijk.
Iptor heeft een beperkt aantal producten die java code gebruiken. Deze kwetsbare java bibliotheek wordt alleen gebruikt in onze gebruikersinterface applicatie XT:
Tot nu toe zijn er geen andere producten geïdentificeerd die deze kwetsbaarheid bevatten, maar we blijven alle versies van al onze java-gebaseerde applicaties scannen en verifiëren, we hebben een team dat hard werkt om manieren te vinden om deze kwetsbaarheid te verminderen naast de ontwikkeling van een nieuwe versie van XT die een geverifieerde veilige versie van de kwetsbare Java-bibliotheek zal hebben.
Nieuws over de voortgang zal op deze webpagina worden geplaatst.

Gelieve hierover geen incident te melden, want we zijn op de hoogte van de kwetsbaarheid en hebben nu geen oplossing.

Zodra er een mitigatieplan is geverifieerd, zullen wij iedereen waarvan wij weten dat hij XT gebruikt, benaderen om de informatie te delen. U vindt een dergelijk mitigatieplan ook op deze webpagina.

Zodra een nieuwe versie van XT beschikbaar is, raden wij u aan uw huidige versie te upgraden naar de nieuwste.

Als u vragen of zorgen heeft over deze zaak, neem dan contact op met [email protected] of uw account manager. Iptor beschouwt veiligheid en betrouwbaarheid als topprioriteiten voor onze klanten.

Deze pagina zal worden bijgewerkt zodra nieuwe informatie beschikbaar is.

Deel deze inzending

Onderwerpen

Aanbevolen

Komende evenementen

ONDERSTEUNING INLOGGEN

De Iptor multiflex Base Module dekt al uw dagelijkse bedrijfsprocessen. De prijs varieert afhankelijk van het aantal gebruikers enbegint bij slechts € 35 / gebruiker / maand, gebaseerd op een abonnement van 12 maanden. Dit omvat:

 

- Onbeperkte toegang tot alle functionaliteiten van de basismodule. 

- 10 dagen persoonlijke begeleiding bij het inwerken.

- Eenvoudige zelfbedieningsupdate op maandelijkse basis. 


Neem contact met ons op en plan een gratis rondleiding - vrijblijvend. Ons team geeft je graag een demo en laat je zien hoe je aan de slag kunt!

De Iptor multiflex Base Module dekt al uw dagelijkse bedrijfsprocessen. De prijs varieert afhankelijk van het aantal gebruikers en begint bij slechts €35 / gebruiker / maand, gebaseerd op een 12 maanden abonnement. Dit omvat:

 

 

- Onbeperkte toegang tot alle functionaliteiten van de basismodule. 

- 10 dagen persoonlijke begeleiding bij het inwerken.

- Eenvoudige en automatische updates op een maandelijkse basis.

Neem contact met ons op en plan een gratis rondleiding - zonder verplichtingen. Ons team geeft u graag een demo en laat u zien hoe u aan de slag kunt!

De Iptor multiflex basismodule is geschikt voor alle commerciële processen. De prijs varieert afhankelijk van het aantal gebruikers en begint op slechts 35€ / gebruiker / maand, op basis van een abonnement van 12 maanden. Het omvat :

 

- Onbeperkte toegang tot alle functies van de basismodule. 

- 10 uur persoonlijke begeleiding.

- Mise à jour mensuelle facile en libre-service.
 

Neem contact met ons op en plan een gratis en vrijblijvend bezoek . Notre équipe se fera un plaisir de vous fournir une démonstration et de vous montrer comment commencer!

De Iptor multiflex Basismodul is geschikt voor al uw dagelijkse werkzaamheden. De prijs is afhankelijk van de grootte van de gebruiker en begint bij slechts 35 € / gebruiker / maand, gebaseerd op een abonnement van 12 maanden. Dit omvat:

 

- Unbeschränkter Zugang zu allen Funktionen des Basismoduls. 

- 10 dagen persoonlijk inwerken.

- Snelle maandelijkse update via zelfbediening. 

 

Neem contact met ons op en Vereinbaren Sie eine kostenlose und unverbindliche Tour. Ons team zal Ihnen graag een demo ter beschikking stellen en Ihnen laten zien hoe u kunt verliezen!