Themen dieses Artikels
Was sind DRACOON Sicherheits-Updates?
Sicherheits-Updates sind aktualisierte Versionen von DRACOON-Komponenten, für die ein sicherheitsrelevanter Fehler identifiziert bzw. gemeldet wurde.
Ein sicherheitsrelevanter Fehler ist eine Schwachstelle in der Software, die unter bestimmten Voraussetzungen ausgenutzt werden kann, um unerlaubt Zugriff auf schützenswerte Daten zu erlangen.
Schwachstellen werden ab Mitte Juli 2020 in DRACOON nach dem Schweregrad bewertet – dafür wird der sogenannte CVSS-Score (Common Vulnerability Scoring System) verwendet, der anhand bestimmter Faktoren (sogenannte Metrics) einen Vergleich zwischen verschiedenen Schwachstellen ermöglicht.
Je höher der Wert ist, desto schwerer wurde die Schwachstelle bewertet.
DRACOON veröffentlicht zudem Sicherheitsbulletins, um über bekannte Schwachstellen in verwendeten Komponenten zu informieren.
Wie erhalte ich DRACOON Sicherheits-Updates?
Als Bestandskunde der DRACOON Cloud erhalten Sie sicherheitsrelevante Updates umgehend, sobald diese verfügbar sind und entsprechend getestet wurden.
Als Bestandskunde von DRACOON Server mit einer von DRACOON verwalteten Umgebung (Full-Managed-Service) erhalten Sie eine Ankündigung mit einem Datum, an dem DRACOON das Update installieren wird.
Als Bestandskunde von DRACOON Server mit selbstverwalteter Umgebung werden Sie über ein verfügbares sicherheitsrelevantes Update informiert – Sie sind aber selbst verantwortlich für die Installation bzw. für das Update der betroffenen Komponente. Sollte Unterstützung benötigt werden, unterstützt unser Operations-Team bei der Installation.
Für Clients (DRACOON für Windows / Mac, DRACOON für Outlook, DRACOON für iOS und DRACOON für Android) werden über die DRACOON-Seite Downloads der neuesten Versionen bereitgestellt:
Für die mobilen Apps (DRACOON für iOS und Android) werden Updates über die jeweiligen Stores (App Store, Google Play Store) verteilt und ausgerollt.
Sollte bei den Desktop-Applikationen (DRACOON für Windows/Mac oder DRACOON für Outlook) ein sicherheitsrelevantes Update bereitstehen, informieren wir alle Bestandskunden.
DRACOON Sicherheits-Updates
| DRACOON-Produkt | Beschreibung | Release-Version | Release-Datum | CVSS-Score | Rating |
|---|---|---|---|---|---|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der iOS-App sorgte dafür, dass auch nach dem Ausloggen aus einer DRACOON-Umgebung zuvor bereits gespeicherte Favoriten weiterhin unter "Dateien" in iOS sichtbar waren. | 22.10.2020 | 2.2 |
niedrig
|
|
| DRACOON Cloud, DRACOON Server (2019-1) | Die Entwickler-Version der Android-App führte ein veraltetes Software-Paket eines Drittanbieters, welches eine Schwachstelle aufweiste. | DRACOON for Android 5.6.1 | 24.07.2020 | 3.3 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der Android-App führte dazu, dass der festgelegte Sperr-Code beim Entsperren des Bildschirms nicht abgefragt wurde. | DRACOON for Android 5.6.1 | 24.07.2020 | 6.1 |
mittel
|
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle auf der OAuth-Anmeldeseite erlaubte die Ausführung von JavaScript-Code über eine Eingabe im Benutzer-Feld. | DRACOON OAuth Service 4.12.4 | 17.07.2020 | 6.8 |
mittel
|
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Media Server 1.4.2 | 13.07.2020 | nicht bewertet | nicht bewertet |
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle bei der Verwendung einer spezifischen Adresse, die zum Darstellen von Fehlern verwendet wird, erlaubte die Ausführung von JavaScript-Code. | DRACOON WebUI 4.12.2 | 29.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | In seltenen Umständen erhielt ein Benutzer eines Webhooks Informationen zu einem anderen, nicht zusammenhängenden Webhook. | DRACOON Event Web Hook Dispatcher 1.0.2 | 07.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benutzer erhielten unter seltenen Umständen Benachrichtigungen über die Verwendung einer Freigabe, die sie nicht erstellt hatten. | DRACOON Event Email Dispatcher 1.0.1 | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | 27.03.2020 | nicht bewertet | nicht bewertet | |
| DRACOON Cloud | Benachrichtigungen auf Datenräume über neue Dateien wurden in seltenen Fällen ohne Benutzerinteraktion entfernt. | DRACOON Core Service 4.20.3 | 23.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON BrandingUI 1.2.1-LTS | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Der Media-Token wurde in Webhook-Rückmeldungen für das Event "file.created" übermittelt. | DRACOON Core Service 4.20.0 DRACOON Core Service 4.20.0 | 30.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON OAuth Service 4.12.2 DRACOON OAuth Service 4.16.1 | 24.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Core Service 4.12.6 DRACOON Core Service 4.19.0 | 10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON BrandingUI 1.4.2 | 10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Branding Service 1.3.1 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Web App 5.3.0 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON S3 CMUR Worker 1.3.0 | 05.03.2020 | nicht bewertet | nicht bewertet |
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.