Apache OFBiz: Update beseitigt Remote-LĂĽcke aus Open-Source-ERP-Software
Die quelloffene Enterprise Resource Planning-Software OFBiz war aus der Ferne angreifbar. Eine abgesicherte Version und ein Patch stehen bereit.
(Bild: Carlo Toffolo/Shutterstock.com)
Die Apache Software Foundation hat eine Sicherheitslücke aus ihrem Open-Source-Enterprise-Resource-Planning-System (ERP) OFBiz entfernt. Ein entfernter, unauthentifizierter Angreifer hätte die Lücke schlimmstenfalls missbrauchen können, um die vollständige Kontrolle über die jeweilige OFBiz-Installation zu übernehmen. Betroffen sind laut dem Entdecker der Lücke sämtliche OFBiz-Versionen vor 17.12.06. Die aktuelle Version 17.12.06 beziehungsweise der verfügbare Sicherheits-Patch sollte möglichst zeitnah eingespielt werden.
Die Sicherheitslücke CVE-2021-26295 fußt auf einer unsicheren Java-Deserialisierung: Mittels speziell präparierter Objekte beziehungsweise Daten, die in das ERP-System eingelesen werden, könnte Schadcode zur Ausführung gebracht werden. Die von der Lücke ausgehende Gefahr wird im Sicherheitshinweis zu CVE-2021-26295 als hoch eingestuft.
(ovw)
