Themen dieses Artikels
Was sind DRACOON Sicherheits-Updates?
Sicherheits-Updates sind aktualisierte Versionen von DRACOON-Komponenten, für die ein sicherheitsrelevanter Fehler identifiziert bzw. gemeldet wurde.
Ein sicherheitsrelevanter Fehler ist eine Schwachstelle in der Software, die unter bestimmten Voraussetzungen ausgenutzt werden kann, um unerlaubt Zugriff auf schützenswerte Daten zu erlangen.
Schwachstellen werden ab Mitte Juli 2020 in DRACOON nach dem Schweregrad bewertet – dafür wird der sogenannte CVSS-Score (Common Vulnerability Scoring System) verwendet, der anhand bestimmter Faktoren (sogenannte Metrics) einen Vergleich zwischen verschiedenen Schwachstellen ermöglicht.
Je höher der Wert ist, desto schwerer wurde die Schwachstelle bewertet:
| CVSS-Score | Schweregrad |
|---|---|
| 9.0–10.0 |
kritisch
|
| 7.0–8.9 |
hoch
|
| 4.0–6.9 |
mittel
|
| bis 3.9 |
niedrig
|
DRACOON veröffentlicht zudem Sicherheitsbulletins, um über bekannte Schwachstellen in verwendeten Komponenten zu informieren.
Wie erhalte ich DRACOON Sicherheits-Updates?
Als Bestandskunde der DRACOON Cloud erhalten Sie sicherheitsrelevante Updates umgehend, sobald diese verfügbar sind und entsprechend getestet wurden.
Als Bestandskunde von DRACOON Server mit einer von DRACOON verwalteten Umgebung (Full-Managed-Service) erhalten Sie eine Ankündigung mit einem Datum, an dem DRACOON das Update installieren wird.
Als Bestandskunde von DRACOON Server mit selbstverwalteter Umgebung werden Sie über ein verfügbares sicherheitsrelevantes Update informiert – Sie sind aber selbst verantwortlich für die Installation bzw. für das Update der betroffenen Komponente. Sollte Unterstützung benötigt werden, unterstützt unser Operations-Team bei der Installation.
Für Clients (DRACOON für Windows / Mac, DRACOON für Outlook, DRACOON für iOS und DRACOON für Android) werden über die DRACOON-Seite Downloads der neuesten Versionen bereitgestellt:
Für die mobilen Apps (DRACOON für iOS und Android) werden Updates über die jeweiligen Stores (App Store, Google Play Store) verteilt und ausgerollt.
Sollte bei den Desktop-Applikationen (DRACOON für Windows/Mac oder DRACOON für Outlook) ein sicherheitsrelevantes Update bereitstehen, informieren wir alle Bestandskunden.
DRACOON Sicherheits-Updates
| DRACOON-Produkt | Beschreibung | Release-Version | Release-Datum | CVSS-Score | Schweregrad |
|---|---|---|---|---|---|
| DRACOON Cloud | Die vom DRACOON OAuth Service verwendete Spring Boot Admin enthält eine Version von SnakeYaml mit einer Sicherheitslücke. | DRACOON OAuth Service 4.28 | 08.05.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das vom DRACOON Core Service verwendet wird, kann dazu führen, dass beim Abmelden (Ausloggen) der Sicherheitskontext nicht zurückgesetzt wird. | DRACOON Core Service 4.43 | 03.05.2023 | 8.8 |
hoch
|
| DRACOON Cloud | Die zweistufige Authentifizierung (MFA) lässt sich umgehen, wenn der sog. Password-Flow bei der OAuth-Authentifizierung verwendet wird. | DRACOON OAuth Service 4.27.3, DRACOON Core Service 4.42.4 | 28.04.2023 | 7.5 |
hoch
|
| DRACOON Cloud, DRACOON Server | Da der DRACOON WebDAV Proxy keinen "content-disposition"-Header übermittelt, hat der Aufruf eines WebDAV-Links von DRACOON im Browser die Anzeige statt den Download der Datei zur Folge, was eine reflektierte XSS-Lücke darstellt. | DRACOON WebDAV Proxy 6.1.3, DRACOON WebDAV Proxy 5.4.8 | 28.04.2023 | 8 |
hoch
|
| DRACOON Server | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das vom DRACOON Spring Boot Admin verwendet wird, kann dazu führen, dass beim Abmelden (Ausloggen) der Sicherheitskontext nicht zurückgesetzt wird. | DRACOON Spring Boot Admin 1.2.1 | 26.04.2023 | 8.8 |
hoch
|
| DRACOON Server | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das von DRACOON-Diensten verwendet wird, ermöglicht die Umgehung von Authentifizierungsprüfungen. | DRACOON Message Queue Sender 1.4.6, DRACOON Spring Boot Admin 1.0.4, DRACOON WebDAV Proxy 5.4.7 | 06.04.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das von DRACOON-Diensten verwendet wird, ermöglicht die Umgehung von Authentifizierungsprüfungen. | DRACOON API Gateway 1.5.1, DRACOON Event Log Service 1.1, DRACOON S3 CMUR Worker 1.8, DRACOON Branding Service 1.9, DRACOON OAuth Service 4.27.1, DRACOON Message Queue Sender 1.10, DRACOON WebDAV Proxy 6.1.2 | 06.04.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) des DRACOON Event Log Service erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON Event Log Service 1.1 | 06.04.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Der vom DRACOON OAuth Service verwendete Spring Boot Admin enthält eine kritische Sicherheitslücke. | DRACOON OAuth Service 4.27.2 | 22.03.2023 | 9.8 |
kritisch
|
| DRACOON Cloud, DRACOON Server | Nach dem Deaktivieren von FaceID oder TouchID auf dem iPhone/iPad musste eine für die DRACOON-App festgelegte PIN beim Start der App nicht mehr eingegeben werden. | DRACOON für iOS 6.14.6, DRACOON für iOS 5.20.4 | 13.03.2023 | 5.5 |
mittel
|
| DRACOON Cloud | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) einiger DRACOON-Dienste erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON Branding Service 1.8 (CVSS 8), DRACOON Media Service 1.7 (CVSS 8), DRACOON Reporting Service 1.4.2 (CVSS 6.1), DRACOON Signing Service 1.3 (CVSS 6.1) | 17.02.2023 | 8/6.1 |
hoch
|
| DRACOON Cloud | Bei der Nutzung des Signaturverfahrens konnte in einer seltenen Konstellation das signierte PDF-Dokument fehlerhaft abgelegt werden. | DRACOON Signing Service 1.2.1 | 11.02.2023 | 7.5 |
hoch
|
| DRACOON Server | Beim Aufruf von Swagger (der DRACOON API-Dokumentation) mit dem Parameter validatorUrl wird ein Anmeldeformular von DRACOON angezeigt, das auf die im Parameter übergebene Adresse umgelenkt werden kann. | DRACOON Core 4.26.11 | 10.02.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Ist die zweistufige Authentifizierung (MFA) für alle Benuter zwingend vorgeschrieben, wird dies bei neu hinzugefügten Gastbenutzern nicht eingefordert – diese können sich ohne zweistufige Authentifizierung an DRACOON anmelden. | DRACOON Core 4.41.2 | 09.02.2023 | 7.5 |
hoch
|
| DRACOON Server | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) einiger DRACOON-Dienste erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON WebDAV Service 5.4.6 (CVSS 9.6), DRACOON Branding Service 1.4.3 (CVSS 8) | 03.02.2023 | 9.6/8 |
kritisch
|
| DRACOON Cloud | Beim Aufruf von Swagger (der DRACOON API-Dokumentation) mit dem Parameter validatorUrl wird ein Anmeldeformular von DRACOON angezeigt, das auf die im Parameter übergebene Adresse umgelenkt werden kann. | DRACOON Core 4.41.1 | 31.01.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Über eine Sicherheitslücke im DRACOON Media Service können Zugangsdaten aus DRACOON abgegriffen werden, die z.B. über eine betrügerische Phishing-Website, auf der ein DRACOON-Anmeldeformular vorgetäuscht wird, vom Benutzer eingegeben werden. Die Lücke lässt auch XSS-Angriffe (Site-übergreifendes Skripting) zu. Eine Ausnutzung der Lücke ist unwahrscheinlich, da der DRACOON Media Service eine nicht öffentlich dokumentierte Komponente von DRACOON ist. | DRACOON Media Service 1.7 | 12.01.2023 | 9.3 |
kritisch
|
| DRACOON Cloud | Wird zur Authentifizierung am DRACOON-API die DRACOON-Legacy-Authentifizierung (also über einen deprecated X-SDS-Auth-Token) verwendet, wird eine aktivierte zweistufige Authentifizierung (MFA) nicht berücksichtigt. | DRACOON Core 4.39 | 12.01.2023 | 7.5 |
hoch
|
| DRACOON Server | Wenn ein in der DRACOON Web App angemeldeter Benutzer seinen Sitzungstoken aus dem lokalen Speicher des Browsers kopiert, kann er trotz Abmelden die Web App-Sitzung weiterverweden, indem er den Sitzungstoken in den lokalen Speicher des Browsers zurückkopiert. Eine Ausnutzung dieses Szenarios durch andere Benutzer ist nicht möglich. | DRACOON Web App 5.12.7 | 20.09.2022 | 3.7 |
niedrig
|
| DRACOON Server | Ist in DRACOON die Richtlinie gesetzt, dass ein Benutzer nach x falschen Anmeldeversuchen vorübergehend gesperrt wird, kann von außen ermittelt werden, ob ein bestimmter Benutzer in DRACOON existiert, da nach den fehlerhaften Anmeldeversuchen eine Fehlermeldung ausgegeben wird, die auf die Existenz des Benutzers in DRACOON schließen lässt. Ebenso kann auf die Existenz eines Benutzers in DRACOON geschlossen werden, indem kurz hintereinander mehrmals auf den "Kennwort vergessen"-Link im Anmeldeformular geklickt wird, da dann eine aufschlussgebende Warnmeldung ausgegeben wird. |
DRACOON OAuth Service 4.20.8 | 28.07.2022 | 5.3 |
mittel
|
| DRACOON Cloud | Ist in DRACOON die Richtlinie gesetzt, dass ein Benutzer nach x falschen Anmeldeversuchen vorübergehend gesperrt wird, kann von außen ermittelt werden, ob ein bestimmter Benutzer in DRACOON existiert, da nach den fehlerhaften Anmeldeversuchen eine Fehlermeldung ausgegeben wird, die auf die Existenz des Benutzers in DRACOON schließen lässt. Ebenso kann auf die Existenz eines Benutzers in DRACOON geschlossen werden, indem kurz hintereinander mehrmals auf den "Kennwort vergessen"-Link im Anmeldeformular geklickt wird, da dann eine aufschlussgebende Warnmeldung ausgegeben wird. |
DRACOON OAuth Service 4.25 | 21.07.2022 | 5.3 |
mittel
|
| DRACOON Cloud | Bei der Eingabe des Kennworts für Dateianfragen gibt es keine Sperre nach mehreren fehlgeschlagenen Eingabeversuchen, sodass über eine Brute-Force-Attacke irgendwann das richtige Kennwort erraten werden könnte. | DRACOON Core 4.37 | 21.06.2022 | 3.7 |
niedrig
|
| DRACOON Cloud | Wenn ein in der DRACOON Web App angemeldeter Benutzer seinen Sitzungstoken aus dem lokalen Speicher des Browsers kopiert, kann er trotz Abmelden die Web App-Sitzung weiterverweden, indem er den Sitzungstoken in den lokalen Speicher des Browsers zurückkopiert. Eine Ausnutzung dieses Szenarios durch andere Benutzer ist nicht möglich. | DRACOON Web App 6.19 | 04.05.2022 | 3.7 |
niedrig
|
| DRACOON Cloud | Benutzermanager können in Benutzerbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Benutzer auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. |
DRACOON Core 4.36 | 04.05.2022 | 4.8 |
mittel
|
| DRACOON Cloud | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core 4.36 | 04.05.2022 | 4.8 |
mittel
|
| DRACOON Server | Benutzermanager können in Benutzerbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Benutzer auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. |
DRACOON Core 4.26.8 | 22.03.2022 | 4.8 |
mittel
|
| DRACOON Server | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core 4.26.8 | 22.03.2022 | 4.8 |
mittel
|
| DRACOON Server | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.20.7 | 22.03.2022 | 8.8 |
hoch
|
| DRACOON Cloud | Auditoren können im Audit-Log die Zugangsdaten (Access Key und Secret Key) für den S3 Object Storage (sofern konfiguriert) einsehen. Die Zugangsdaten sind nicht öffentlich einsehbar. | DRACOON Core 4.35 | 17.02.2022 | ||
| DRACOON Cloud | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.24 | 17.02.2022 | 8.8 |
hoch
|
| DRACOON Cloud | Auditoren können im Audit-Log den AES-Schlüssel von Benutzern einsehen, der in der DRACOON Web App zum lokalen Entschlüsseln des Entschlüsselungskennworts des jeweiligen Benutzers verwendet wird. Diese Sicherheitslücke kann nicht verwendet werden, um verschlüsselte Dateien zu entschlüsseln. | DRACOON Core 4.33.4 | 19.01.2022 | 4.1 |
mittel
|
| DRACOON Cloud | DRACOON für Outlook für DRACOON Cloud-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 6.9.1 | 17.12.2021 | 7.8 |
hoch
|
| DRACOON Server | DRACOON für Outlook für DRACOON Server-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 5.12.4 | 17.12.2021 | 7.8 |
hoch
|
| DRACOON Cloud | Auditoren können den AES-Schlüssel, den die DRACOON Web App zum Verschlüsseln der persönlichen Entschlüsselungskennwörter von Benutzern verwendet, im Audit-Log nachvollziehen. Der Schlüssel kann nicht zum Entschlüsseln verschlüsselter Dateien verwendet werden. | DRACOON Core 4.33.4 | 08.12.2021 | 4.1 |
mittel
|
| DRACOON Server | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.26.6 | 06.12.2021 | 5.6 |
mittel
|
| DRACOON Cloud | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.33 | 10.11.2021 | 5.6 |
mittel
|
| DRACOON Cloud | Eine Reflected-XSS-Schwachstelle erlaubte unter bestimmten Bedingungen bei Verwendung von Firefox die Ausführung von JavaScript-Code auf der Fehler-Seite der Web App. | DRACOON Web App 5.11 | 10.03.2021 | 8.1 |
hoch
|
| DRACOON Cloud | Die Verteilung von Dateischlüsseln in verschlüsselten Datenräumen war unter bestimmten Voraussetzungen stark eingeschränkt. | DRACOON Core 4.23.5 | 27.01.2021 | 4.4 |
mittel
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der iOS-App sorgte dafür, dass auch nach dem Ausloggen aus einer DRACOON-Umgebung zuvor bereits gespeicherte Favoriten weiterhin unter "Dateien" in iOS sichtbar waren. | DRACOON für iOS 6.1 DRACOON für iOS 5.14 |
22.10.2020 | 2.2 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Die Entwickler-Version der Android-App enthielt ein veraltetes Software-Paket eines Drittanbieters, welches eine Schwachstelle aufwies. | DRACOON für Android 5.6.1 | 24.07.2020 | 3.3 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der Android-App führte dazu, dass der festgelegte Sperr-Code beim Entsperren des Bildschirms nicht abgefragt wurde. | DRACOON für Android 5.6.1 | 24.07.2020 | 6.1 |
mittel
|
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle auf der OAuth-Anmeldeseite erlaubte die Ausführung von JavaScript-Code über eine Eingabe im Benutzer-Feld. | DRACOON OAuth Service 4.12.4 | 17.07.2020 | 6.8 |
mittel
|
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Media Service 1.4.2 | 13.07.2020 | nicht bewertet | nicht bewertet |
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle bei der Verwendung einer spezifischen Adresse, die zum Darstellen von Fehlern verwendet wird, erlaubte die Ausführung von JavaScript-Code. | DRACOON Web App 4.12.2 | 29.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | In seltenen Umständen erhielt ein Benutzer eines Webhooks Informationen zu einem anderen, nicht zusammenhängenden Webhook. | DRACOON Event Web Hook Dispatcher 1.0.2 | 07.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benutzer erhielten unter seltenen Umständen Benachrichtigungen über die Verwendung einer Freigabe, die sie nicht erstellt hatten. | DRACOON Event Email Dispatcher 1.0.1 | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON WebDAV Proxy 5.3.1 DRACOON WebDAV Proxy 5.2.2-LTS |
27.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benachrichtigungen auf Datenräume über neue Dateien wurden in seltenen Fällen ohne Benutzerinteraktion entfernt. | DRACOON Core 4.20.3 | 23.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON BrandingUI 1.2.1-LTS | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Der Media-Token wurde in Webhook-Rückmeldungen für das Event "file.created" übermittelt. | DRACOON Core 4.20.0 DRACOON Core 4.20 | 30.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON OAuth Service 4.12.2 DRACOON OAuth Service 4.16.1 |
24.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Core 4.12.6 DRACOON Core 4.19 |
10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON BrandingUI 1.4.2 | 10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Branding Service 1.3.1 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Web App 5.3 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON S3 CMUR Worker 1.3.0 | 05.03.2020 | nicht bewertet | nicht bewertet |
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.