Apache OFBiz: Aktueller Sicherheitspatch repariert ältere Patches
Ein aktueller Patch für Apache OFBiz verhindert, dass Sicherheitsupdates für ältere Lücken umgangen werden können.
(Bild: Alfa Photo/Shutterstock.com)
Admins, die in Unternehmen Apache OFBiz einsetzen, sollten das Enterprise-Resource-Planning-System (ERP) aus Sicherheitsgründen auf den aktuellen Stand bringen. Das aktuelle Sicherheitsupdate verhindert das Umgehen von Patches für ältere Schwachstellen.
Ăśberarbeitetes Sicherheitsupdate
OFBiz hilft Firmen unter anderem bei der Automatisierung von Prozessen und stellt verschiedene Unternehmensapplikationen bereit. Von der Sicherheitslücke (CVE-2024-45195 "hoch") sind die Linux- und Windows-Versionen bedroht. Weil Autorisierungen in der Web Application nicht ausreichend geprüft werden, können sich Angereifer ohne Anmeldung Zugriff verschaffen und Schadcode ausführen. Wie das im Detail ablaufen kann, führen Sicherheitsforscher von Rapid7 in einem Beitrag aus.
Die Forscher geben an, dass Angreifer Sicherheitsupdates für Lücken aus August 2024 (CVE-2024-32113 "kritisch", CVE-2024-36104, CVE-2024-38856 "kritisch") umgehen können. Das neue, funktionierende Sicherheitsupdate wurde nun mit CVE-2024-45195 gekennzeichnet und es schließt die Lücken.
Attacken
Bereits im August gab es erste Berichte zu Attacken auf OFBiz (CVE-2024-32113). Ob die Attacken noch laufen, ist derzeit nicht bekannt. Admins sollten sicherstellen, dass OFBiz 18.12.16 installiert ist, um gegen die geschilderten Sicherheitsprobleme gerĂĽstet zu sein.
(des)
