Sicherheitsupdates
Alle Sicherheitsrelevanten Änderungen der letzten BCS-Releases
Die regelmäßige Installation von Updates ist eine der wichtigsten Sicherheitsmaßnahmen, auf die Benutzer achten sollten. Wir arbeiten laufend daran, mögliche Sicherheitslücken zu identifizieren und umgehend zu beheben. Aktualisierungen unserer Software umfassen daher auch immer Bugfixes und behobene Sicherheitsrisiken. Updaten Sie daher regelmäßig Ihre BCS-Installation, um vor potenziellen Risiken bestmöglich geschützt zu sein.
Sicher mit der neuesten BCS-Version
Ein Update auf die aktuelle BCS-Version lohnt sich! Die aktuellste BCS-Version enthält immer auch die in vergangenen Releases vorgenommenen Behebungen von Sicherheitslücken.
Wir bewerten die Verwundbarkeit der behobenen Sicherheitslücken nach dem Common Vulnerability Scoring System (CVSS). Dahinter steht eine Methode, die ein qualitatives Maß für den Schweregrad liefert. CVSS ist kein Maß für das Risiko. CVSS besteht aus drei metrischen Gruppen: Base, Temporal und Environmental. Die Basis-Metriken ergeben eine Punktzahl zwischen 0 und 10, die dann durch die Bewertung der zeitlichen und umweltbezogenen Metriken verändert werden kann.
Bei der Farbcodierung des Schweregrades richten wir uns nach den Ratings, die in der CVSS v3.0-Spezifizierung angegeben sind:
Schweregrad | Farbcodierung | Score-Bereich |
---|---|---|
Keiner | 0.0 | |
Niedrig | 0.1 - 3.9 | |
Medium | 4.0 - 6.9 | |
Hoch | 7.0 - 8.9 | |
Kritisch | 9.0 - 10.0 |
Projektron BCS 24.1
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Der Apache Tomcat, der bei der Installation über den Projektron BCS Installer standardmäßig mitgeliefert wird, wurde aktualisiert auf die Version 9.0.90. Damit wurde eine Sicherheitslücke geschlossen. Wir empfehlen, den in Ihrer Installation vorhandenen Apache Tomcat ebenfalls auf die in den Installationsvoraussetzungen angegebene Version zu aktualisieren. Da Tomcat ausschließlich für Projektron BCS genutzt werden sollte, sollten beim Update des Apache Tomcat nicht benötigte Teile der Installation entfernt werden. Entfernen Sie bitte Dateien und Verzeichnisse im Verzeichnis /tomcat/webapps/, um Probleme in Verbindung mit Beispieldateien des Tomcat auszuschließen. Weitere Hinweise zum Update finden Sie auf dem Projektron Supportserver im FAQ-Eintrag 449. | 7.5 | ||
Behebt eine Sicherheitslücke in einer von BCS genutzten Javascript-Bibliothek. | 7.5 | 23.2 | |
Behebt Sicherheitslücken in verschiedenen Java-Bibliotheken, die für den E-Mail-Import mit Microsoft Graph benötigt werden. | 5.5 | 23.4 | |
Ein Fehler wurde behoben, durch den in einer Ansicht das Erkennen von Abwesenheiten als Urlaubs- bzw. Krankheitstermine ohne das dafür notwendige Recht möglich war. | 3.5 | 23.2 |
Projektron BCS 23.4
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Behebt Sicherheitslücken in verschiedenen Java-Bibliotheken, die für den E-Mail-Import mit Microsoft Graph benötigt werden. | 5.5 | ||
Behebt eine Sicherheitslücke in einer von BCS genutzten Javascript-Bibliothek. | 7.5 | 23.3 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS genutzten Java-Bibliothek, die für E-Rechnungen verwendet wird. | 8.1 | 23.1 | |
Behebt mehrere Sicherheitslücken in einer von Projektron BCS genutzten Java-Bibliothek, die für die Verwaltung von TLS/SSL-Zertifikaten verwendet wird. | 7.5 | 23.3 | |
Behebt eine XSS-Lücke, die mit erhöhten Rechten ausgenutzt werden konnte. | 4.6 | 23.1 | |
Es wurde eine Sicherheitslücke im Kontext der Terminagenda behoben, bei dem der Betreff eines eingeschränkt sichtbaren Termins ermittelt werden konnte. | 5.3 | 23.1 | |
Es wurde eine Sicherheitslücke beim Export von vCards behoben. | 5.1 | 23.1 | |
Es wurden Sicherheitslücken in einer von Projektron BCS verwendeten Java-Bibliothek behoben, die unter Umständen bei der Sicherung und Wiederherstellung von Projektron BCS auftreten konnten. | 5.5 | 23.2 |
Projektron BCS 23.3
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Es wurde die Lücke CVE-2024-25710 durch ein Update der von Projektron BCS verwendeten Java-Bibliothek Apache Commons Compress behoben, die primär für das Packen und Entpacken des Projektron BCS Backups genutzt wird. | 5.5 | 23.2 | |
Es wurde die Lücke CVE-2024-26308 durch ein Update der von Projektron BCS verwendeten Java-Bibliothek Apache Commons Compress behoben, die primär für das Packen und Entpacken des Projektron BCS Backups genutzt wird. | 5.5 | 23.2 | |
Ein Fehler wurde behoben, durch den Benutzer möglicherweise nicht abgemeldet wurden, wenn sich ihre Anmeldeberechtigung ändert. | 1.0 | - | |
Dieser Eintrag ist nur relevant, falls Sie den Projekt-E-Mail-Import mit Subversion-Integration verwenden. Beim E-Mail-Import mit aktivierter SVN-Integration war es potentiell möglich, Commit-Objekte importieren zu lassen, die nicht zu tatsächlichen SVN-Commits korrespondieren. Voraussetzung dafür ist die Möglichkeit, dass ein Angreifer in der Lage ist, an das E-Mail-Importkonto beliebige E-Mails zu senden. Um dies zu verhindern, wird für die SVN-Integration nun ein Secret erfordert. Weitere Informationen dazu finden Sie in der Administrationsdokumentation im Kapitel "Subversion Integration". | 3.9 | - |
Projektron BCS 23.2
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek zur Verarbeitung von JSON. | 7.5 | BCS 22.4 | |
Behebt eine Sicherheitslücke im Bereich BPMN, daher ist dieser Eintrag nur relevant, falls Sie das BPMN-Modul aktiviert haben. | 8.0 | BCS 22.3 | |
Wenn ein Benutzer die Rechte auf ein Ticket ausschließlich über eine Rückfrage erhielt war es möglich, auch nach Beantworten der Rückfrage weiterhin E-Mail-Benachrichtigungen zu diesem Ticket zu erhalten. Das wurde behoben. In diesem Zuge wurde umgestellt, wie sich das Feld "Weitere E-Mail-Adressen" an Tickets verhält. Bisher wurde in Projektron BCS eine zu dieser E-Mail-Adresse gehörende Person gesucht und, insofern eine Person gefunden wurde, die E-Mail an die Hauptaddresse dieser Person verschickt. Das ist nicht mehr der Fall, es wird immer die im Feld eingetragene E-Mail-Adresse verwendet. | 3.1 | BCS 22.2 |
Alle sicherheitsrelevanten Änderungen der vorherigen Releases
Projektron BCS 23.1
Projektron BCS 23.1
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Behebt HTML-Injection-Lücken, die beim Versand von E-Mails entstehen konnten. | 7.7 | BCS 22.3 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die im Zusammenhang mit der Microsoft 365-Schnittstelle verwendet wird. | 7.5 | BCS 22.3 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zum serverseitigen Zeichnen von Grafiken verwendet wird. | 7.1 | BCS 22.2 | |
Behebt eine persistente Cross-Site-Sicherheitslücke. | 8.7 | BCS 22.2 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, von der Projektron BCS nicht direkt betroffen ist. Ein Update wird dennoch empfohlen. | 9.8 | BCS 22.1 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek. | 6.2 | BCS 22.1 | |
Behebt zwei persistente Cross-Site-Scripting-Lücken. | 8.7 | BCS 22.1 |
Projektron BCS 22.4
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Behebt eine reflektierte (reflected) Cross-Site-Scripting-Lücke. | 6.1 | BCS 22.1 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zu einem Denial of Service führen kann. | 7.5 | BCS 22.1 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek. | 7.5 | BCS 22.1 | |
Behebt 2 Sicherheitslücken in 2 von Projektron BCS verwendeten Bibliotheken, die für den Import und das Versenden von E-Mails über die Microsoft Graph-Schnittstelle genutzt werden. | 7.5 | BCS 22.1 | |
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, die nicht direkt von Projektron BCS verwendet wird. Es wird dennoch ein Update von Projektron BCS empfohlen. | 7.5 | BCS 22.1 |
Projektron BCS 22.3
In dieser Version wurden keine Sicherheislücken identifiziert.
Projektron BCS 22.2
Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
---|---|---|---|
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die in mehreren Ansichten verschiedener Projektron BCS-Bereiche Verwendung findet. | 7.5 | BCS 22.1 |
Projektron BCS 22.1
Beschreibung | Verwundbarkeit | |
---|---|---|
Behebt Sicherheitslücken in mehreren Javascript-Bibliotheken, welche unter Umständen z.B. zu Denial-of-Service im Webbrowser führen konnten. | 6.5 | |
Behebt eine Cross-Site-Scripting-Sicherheitslücke in der Onlinehilfe. Hinweis: Es ist beim Update von Projektron BCS notwendig, dass insbesondere das Verzeichnis BCS_HOME/webapp/help mit den darin enthaltenen Dateien documentation_de.zip und documentation_en.zip aktualisiert wird. Dazu ist es erforderlich, das Update über das Archiv projektron-bcs-22.1.1.zip und nicht über projektron-bcs-22.1.1-no_docs.zip durchzuführen, da in letztgenanntem Archiv keine Onlinehilfe-Dateien enthalten sind. | 8.2 | |
Behebt das Problem im BCS-Baustein Kalender, dass Personen, die nicht an Terminen teilnehmen, unter Umständen die Agenda eines eingeschränkt sichtbaren Termins sehen können. | 4.3 |