Sicherheitsupdates
Alle Sicherheitsrelevanten Änderungen der letzten BCS-Releases
Die regelmäßige Installation von Updates ist eine der wichtigsten Sicherheitsmaßnahmen, auf die Benutzer achten sollten. Wir arbeiten laufend daran, mögliche Sicherheitslücken zu identifizieren und umgehend zu beheben. Aktualisierungen unserer Software umfassen daher auch immer Bugfixes und behobene Sicherheitsrisiken. Updaten Sie daher regelmäßig Ihre BCS-Installation, um vor potenziellen Risiken bestmöglich geschützt zu sein.
Sicher mit der neuesten BCS-Version
Ein Update auf die aktuelle BCS-Version lohnt sich! Die aktuellste BCS-Version enthält immer auch die in vergangenen Releases vorgenommenen Behebungen von Sicherheitslücken.
Wir bewerten die Verwundbarkeit der behobenen Sicherheitslücken nach dem Common Vulnerability Scoring System (CVSS). Dahinter steht eine Methode, die ein qualitatives Maß für den Schweregrad liefert. CVSS ist kein Maß für das Risiko. CVSS besteht aus drei metrischen Gruppen: Base, Temporal und Environmental. Die Basis-Metriken ergeben eine Punktzahl zwischen 0 und 10, die dann durch die Bewertung der zeitlichen und umweltbezogenen Metriken verändert werden kann.
Bei der Farbcodierung des Schweregrades richten wir uns nach den Ratings, die in der CVSS v3.0-Spezifizierung angegeben sind:
| Schweregrad | Farbcodierung | Score-Bereich |
|---|---|---|
| Keiner |  | 0.0 |
| Niedrig |  | 0.1 - 3.9 |
| Medium |  | 4.0 - 6.9 |
| Hoch |  | 7.0 - 8.9 |
| Kritisch |  | 9.0 - 10.0 |
Projektron BCS 23.4
| Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
|---|---|---|---|
| Es wurde eine Sicherheitslücke im Kontext der Terminagenda behoben, bei dem der Betreff eines eingeschränkt sichtbaren Termins ermittelt werden konnte. | | 5.3 | 23.1 |
| Es wurde eine Sicherheitslücke beim Export von vCards behoben. | | 5.1 | 23.1 |
| Es wurden Sicherheitslücken in einer von Projektron BCS verwendeten Java-Bibliothek behoben, die unter Umständen bei der Sicherung und Wiederherstellung von Projektron BCS auftreten konnten. | | 5.5 | 23.2 |
Projektron BCS 23.3
| Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
|---|---|---|---|
| Es wurde die Lücke CVE-2024-25710 durch ein Update der von Projektron BCS verwendeten Java-Bibliothek Apache Commons Compress behoben, die primär für das Packen und Entpacken des Projektron BCS Backups genutzt wird. | | 5.5 | 23.2 |
| Es wurde die Lücke CVE-2024-26308 durch ein Update der von Projektron BCS verwendeten Java-Bibliothek Apache Commons Compress behoben, die primär für das Packen und Entpacken des Projektron BCS Backups genutzt wird. | | 5.5 | 23.2 |
| Ein Fehler wurde behoben, durch den Benutzer möglicherweise nicht abgemeldet wurden, wenn sich ihre Anmeldeberechtigung ändert. | | 1.0 | - |
| Dieser Eintrag ist nur relevant, falls Sie den Projekt-E-Mail-Import mit Subversion-Integration verwenden. Beim E-Mail-Import mit aktivierter SVN-Integration war es potentiell möglich, Commit-Objekte importieren zu lassen, die nicht zu tatsächlichen SVN-Commits korrespondieren. Voraussetzung dafür ist die Möglichkeit, dass ein Angreifer in der Lage ist, an das E-Mail-Importkonto beliebige E-Mails zu senden. Um dies zu verhindern, wird für die SVN-Integration nun ein Secret erfordert. Weitere Informationen dazu finden Sie in der Administrationsdokumentation im Kapitel "Subversion Integration". | | 3.9 | - |
Projektron BCS 23.2
| Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
|---|---|---|---|
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek zur Verarbeitung von JSON. | | 7.5 | BCS 22.4 |
| Behebt eine Sicherheitslücke im Bereich BPMN, daher ist dieser Eintrag nur relevant, falls Sie das BPMN-Modul aktiviert haben. | | 8.0 | BCS 22.3 |
| Wenn ein Benutzer die Rechte auf ein Ticket ausschließlich über eine Rückfrage erhielt war es möglich, auch nach Beantworten der Rückfrage weiterhin E-Mail-Benachrichtigungen zu diesem Ticket zu erhalten. Das wurde behoben. In diesem Zuge wurde umgestellt, wie sich das Feld "Weitere E-Mail-Adressen" an Tickets verhält. Bisher wurde in Projektron BCS eine zu dieser E-Mail-Adresse gehörende Person gesucht und, insofern eine Person gefunden wurde, die E-Mail an die Hauptaddresse dieser Person verschickt. Das ist nicht mehr der Fall, es wird immer die im Feld eingetragene E-Mail-Adresse verwendet. | | 3.1 | BCS 22.2 |
Projektron BCS 23.1
| Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
|---|---|---|---|
| Behebt HTML-Injection-Lücken, die beim Versand von E-Mails entstehen konnten. | | 7.7 | BCS 22.3 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die im Zusammenhang mit der Microsoft 365-Schnittstelle verwendet wird. | | 7.5 | BCS 22.3 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zum serverseitigen Zeichnen von Grafiken verwendet wird. | | 7.1 | BCS 22.2 |
| Behebt eine persistente Cross-Site-Sicherheitslücke. | | 8.7 | BCS 22.2 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, von der Projektron BCS nicht direkt betroffen ist. Ein Update wird dennoch empfohlen. | | 9.8 | BCS 22.1 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek. | | 6.2 | BCS 22.1 |
| Behebt zwei persistente Cross-Site-Scripting-Lücken. | | 8.7 | BCS 22.1 |
Alle sicherheitsrelevanten Änderungen der vorherigen Releases
Projektron BCS 22.4
| Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
|---|---|---|---|
| Behebt eine reflektierte (reflected) Cross-Site-Scripting-Lücke. | | 6.1 | BCS 22.1 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die zu einem Denial of Service führen kann. | | 7.5 | BCS 22.1 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek. | | 7.5 | BCS 22.1 |
| Behebt 2 Sicherheitslücken in 2 von Projektron BCS verwendeten Bibliotheken, die für den Import und das Versenden von E-Mails über die Microsoft Graph-Schnittstelle genutzt werden. | | 7.5 | BCS 22.1 |
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Javascript-Bibliothek, die nicht direkt von Projektron BCS verwendet wird. Es wird dennoch ein Update von Projektron BCS empfohlen. | | 7.5 | BCS 22.1 |
Projektron BCS 22.3
In dieser Version wurden keine Sicherheislücken identifiziert.
Projektron BCS 22.2
| Beschreibung | Verwundbarkeit | Zurückgepflegt zu | |
|---|---|---|---|
| Behebt eine Sicherheitslücke in einer von Projektron BCS verwendeten Java-Bibliothek, die in mehreren Ansichten verschiedener Projektron BCS-Bereiche Verwendung findet. | | 7.5 | BCS 22.1 |
Projektron BCS 22.1
| Beschreibung | Verwundbarkeit | |
|---|---|---|
| Behebt Sicherheitslücken in mehreren Javascript-Bibliotheken, welche unter Umständen z.B. zu Denial-of-Service im Webbrowser führen konnten. | | 6.5 |
| Behebt eine Cross-Site-Scripting-Sicherheitslücke in der Onlinehilfe. Hinweis: Es ist beim Update von Projektron BCS notwendig, dass insbesondere das Verzeichnis BCS_HOME/webapp/help mit den darin enthaltenen Dateien documentation_de.zip und documentation_en.zip aktualisiert wird. Dazu ist es erforderlich, das Update über das Archiv projektron-bcs-22.1.1.zip und nicht über projektron-bcs-22.1.1-no_docs.zip durchzuführen, da in letztgenanntem Archiv keine Onlinehilfe-Dateien enthalten sind. | | 8.2 |
| Behebt das Problem im BCS-Baustein Kalender, dass Personen, die nicht an Terminen teilnehmen, unter Umständen die Agenda eines eingeschränkt sichtbaren Termins sehen können. | | 4.3 |
