Alert!

Apache OFBiz: Update beseitigt Remote-Lücke aus Open-Source-ERP-Software

Die quelloffene Enterprise Resource Planning-Software OFBiz war aus der Ferne angreifbar. Eine abgesicherte Version und ein Patch stehen bereit.

In Pocket speichern vorlesen Druckansicht

(Bild: Carlo Toffolo/Shutterstock.com)

Lesezeit: 1 Min.

Die Apache Software Foundation hat eine Sicherheitslücke aus ihrem Open-Source-Enterprise-Resource-Planning-System (ERP) OFBiz entfernt. Ein entfernter, unauthentifizierter Angreifer hätte die Lücke schlimmstenfalls missbrauchen können, um die vollständige Kontrolle über die jeweilige OFBiz-Installation zu übernehmen. Betroffen sind laut dem Entdecker der Lücke sämtliche OFBiz-Versionen vor 17.12.06. Die aktuelle Version 17.12.06 beziehungsweise der verfügbare Sicherheits-Patch sollte möglichst zeitnah eingespielt werden.

Die Sicherheitslücke CVE-2021-26295 fußt auf einer unsicheren Java-Deserialisierung: Mittels speziell präparierter Objekte beziehungsweise Daten, die in das ERP-System eingelesen werden, könnte Schadcode zur Ausführung gebracht werden. Die von der Lücke ausgehende Gefahr wird im Sicherheitshinweis zu CVE-2021-26295 als hoch eingestuft.

(ovw)