Sicherheitsupdates

Alle Sicherheitsrelevanten Änderungen der letzten BCS-Releases

Die regelmäßige Installation von Updates ist eine der wichtigsten Sicherheitsmaßnahmen, auf die Benutzer achten sollten. Wir arbeiten laufend daran, mögliche Sicherheitslücken zu identifizieren und umgehend zu beheben. Aktualisierungen unserer Software umfassen daher auch immer Bugfixes und behobene Sicherheitsrisiken. Updaten Sie daher regelmäßig Ihre BCS-Installation, um vor potenziellen Risiken bestmöglich geschützt zu sein.


Sicher mit der neuesten BCS-Version

Ein Update auf die aktuelle BCS-Version lohnt sich! Die aktuellste BCS-Version enthält immer auch die in vergangenen Releases vorgenommenen Behebungen von Sicherheitslücken.

Wir bewerten die Verwundbarkeit der behobenen Sicherheitslücken nach dem Common Vulnerability Scoring System (CVSS). Dahinter steht eine Methode, die ein qualitatives Maß für den Schweregrad liefert. CVSS ist kein Maß für das Risiko. CVSS besteht aus drei metrischen Gruppen: Base, Temporal und Environmental. Die Basis-Metriken ergeben eine Punktzahl zwischen 0 und 10, die dann durch die Bewertung der zeitlichen und umweltbezogenen Metriken verändert werden kann.

Bei der Farbcodierung des Schweregrades richten wir uns nach den Ratings, die in der CVSS v3.0-Spezifizierung angegeben sind:

SchweregradFarbcodierungScore-Bereich
Keiner0.0
Niedrig0.1 - 3.9
Medium4.0 - 6.9
Hoch7.0 - 8.9
Kritisch9.0 - 10.0

Projektron BCS 23.3

BeschreibungVerwundbarkeit
Ein Fehler wurde behoben, durch den Benutzer möglicherweise nicht abgemeldet wurden, wenn sich ihre Anmeldeberechtigung ändert.1.0
Dieser Eintrag ist nur relevant, falls Sie den Projekt-E-Mail-Import mit Subversion-Integration verwenden. Beim E-Mail-Import mit aktivierter SVN-Integration war es potentiell möglich, Commit-Objekte importieren zu lassen, die nicht zu tatsächlichen SVN-Commits korrespondieren. Voraussetzung dafür ist die Möglichkeit, dass ein Angreifer in der Lage ist, an das E-Mail-Importkonto beliebige E-Mails zu senden. Um dies zu verhindern, wird für die SVN-Integration nun ein Secret erfordert. Weitere Informationen dazu finden Sie in der Administrationsdokumentation im Kapitel "Subversion Integration".3.9

Projektron BCS 23.2

BeschreibungVerwundbarkeitZurückgepflegt zu
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek zur Verarbeitung von JSON.7.5BCS 22.4
Behebt eine Sicherheitslücke im Bereich BPMN, daher ist dieser Eintrag nur relevant, falls Sie das BPMN-Modul aktiviert haben.8.0BCS 22.3
Wenn ein Benutzer die Rechte auf ein Ticket ausschließlich über eine Rückfrage erhielt war es möglich, auch nach Beantworten der Rückfrage weiterhin E-Mail-Benachrichtigungen zu diesem Ticket zu erhalten. Das wurde behoben. In diesem Zuge wurde umgestellt, wie sich das Feld "Weitere E-Mail-Adressen" an Tickets verhält. Bisher wurde in Projektron BCS eine zu dieser E-Mail-Adresse gehörende Person gesucht und, insofern eine Person gefunden wurde, die E-Mail an die Hauptaddresse dieser Person verschickt. Das ist nicht mehr der Fall, es wird immer die im Feld eingetragene E-Mail-Adresse verwendet.3.1BCS 22.2

Projektron BCS 23.1

BeschreibungVerwundbarkeitZurückgepflegt zu
Behebt HTML-Injection-Lücken, die beim Versand von E-Mails entstehen konnten.7.7BCS 22.3
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die im Zusammenhang mit der Microsoft 365-Schnittstelle verwendet wird.7.5BCS 22.3
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zum serverseitigen Zeichnen von Grafiken verwendet wird.7.1BCS 22.2
Behebt eine persistente Cross-Site-Sicherheitslücke.8.7BCS 22.2
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, von der Projektron BCS nicht direkt betroffen ist. Ein Update wird dennoch empfohlen.9.8BCS 22.1
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek.6.2BCS 22.1
Behebt zwei persistente Cross-Site-Scripting-Lücken.8.7BCS 22.1

Alle sicherheitsrelevanten Änderungen der vorherigen Releases

Projektron BCS 22.4

BeschreibungVerwundbarkeitZurückgepflegt zu
Behebt eine reflektierte (reflected) Cross-Site-Scripting-Lücke.6.1BCS 22.1
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zu einem Denial of Service führen kann.7.5BCS 22.1
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek.7.5BCS 22.1
Behebt 2 Sicherheitslücken in 2 von Projektron BCS verwendeten Bibliotheken, die für den Import und das Versenden von E-Mails über die Microsoft Graph-Schnittstelle genutzt werden.7.5BCS 22.1
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, die nicht direkt von Projektron BCS verwendet wird. Es wird dennoch ein Update von Projektron BCS empfohlen.7.5BCS 22.1

Projektron BCS 22.3

In dieser Version wurden keine Sicherheislücken identifiziert.

Projektron BCS 22.2

BeschreibungVerwundbarkeitZurückgepflegt zu
Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die in mehreren Ansichten verschiedener Projektron BCS-Bereiche Verwendung findet.7.5BCS 22.1

Projektron BCS 22.1

BeschreibungVerwundbarkeit
Behebt Sicherheitslücken in mehreren Javascript-Bibliotheken, welche unter Umständen z.B. zu Denial-of-Service im Webbrowser führen konnten.6.5
Behebt eine Cross-Site-Scripting-Sicherheitslücke in der Onlinehilfe. Hinweis: Es ist beim Update von Projektron BCS notwendig, dass insbesondere das Verzeichnis BCS_HOME/webapp/help mit den darin enthaltenen Dateien documentation_de.zip und documentation_en.zip aktualisiert wird. Dazu ist es erforderlich, das Update über das Archiv projektron-bcs-22.1.1.zip und nicht über projektron-bcs-22.1.1-no_docs.zip durchzuführen, da in letztgenanntem Archiv keine Onlinehilfe-Dateien enthalten sind.8.2
Behebt das Problem im BCS-Baustein Kalender, dass Personen, die nicht an Terminen teilnehmen, unter Umständen die Agenda eines eingeschränkt sichtbaren Termins sehen können.4.3

Ihr Kontakt

Unsere Kundenbetreuung

ist Ihr Ansprechpartner
rund um Projektron BCS.

+49 30 3 47 47 64-200
kundenbetreuung(at)projektron.de

Die neueste Version

Kostenlose
Online-Präsentation

Lassen Sie sich die Projektmanagement-Software Projektron BCS via Web-Konferenz zeigen.

Anmelden

Alle Referenzen Seitenanfang