Themen dieses Artikels
Was sind DRACOON Sicherheits-Updates?
Sicherheits-Updates sind aktualisierte Versionen von DRACOON-Komponenten, für die ein sicherheitsrelevanter Fehler identifiziert bzw. gemeldet wurde.
Ein sicherheitsrelevanter Fehler ist eine Schwachstelle in der Software, die unter bestimmten Voraussetzungen ausgenutzt werden kann, um unerlaubt Zugriff auf schützenswerte Daten zu erlangen.
Schwachstellen werden ab Mitte Juli 2020 in DRACOON nach dem Schweregrad bewertet – dafür wird der sogenannte CVSS-Score (Common Vulnerability Scoring System) verwendet, der anhand bestimmter Faktoren (sogenannte Metrics) einen Vergleich zwischen verschiedenen Schwachstellen ermöglicht.
Je höher der Wert ist, desto schwerer wurde die Schwachstelle bewertet.
DRACOON veröffentlicht zudem Sicherheitsbulletins, um über bekannte Schwachstellen in verwendeten Komponenten zu informieren.
Wie erhalte ich DRACOON Sicherheits-Updates?
Als Bestandskunde der DRACOON Cloud erhalten Sie sicherheitsrelevante Updates umgehend, sobald diese verfügbar sind und entsprechend getestet wurden.
Als Bestandskunde von DRACOON Server mit einer von DRACOON verwalteten Umgebung (Full-Managed-Service) erhalten Sie eine Ankündigung mit einem Datum, an dem DRACOON das Update installieren wird.
Als Bestandskunde von DRACOON Server mit selbstverwalteter Umgebung werden Sie über ein verfügbares sicherheitsrelevantes Update informiert – Sie sind aber selbst verantwortlich für die Installation bzw. für das Update der betroffenen Komponente. Sollte Unterstützung benötigt werden, unterstützt unser Operations-Team bei der Installation.
Für Clients (DRACOON für Windows / Mac, DRACOON für Outlook, DRACOON für iOS und DRACOON für Android) werden über die DRACOON-Seite Downloads der neuesten Versionen bereitgestellt:
Für die mobilen Apps (DRACOON für iOS und Android) werden Updates über die jeweiligen Stores (App Store, Google Play Store) verteilt und ausgerollt.
Sollte bei den Desktop-Applikationen (DRACOON für Windows/Mac oder DRACOON für Outlook) ein sicherheitsrelevantes Update bereitstehen, informieren wir alle Bestandskunden.
DRACOON Sicherheits-Updates
DRACOON-Produkt | Beschreibung | Release-Version | Release-Datum | CVSS-Score | Rating |
---|---|---|---|---|---|
DRACOON Cloud | Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. | DRACOON Core Service 4.36 | 04.05.2022 | 4.8 |
niedrig
|
DRACOON Cloud | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core Service 4.36 | 04.05.2022 | 4.8 |
niedrig
|
DRACOON Cloud | Auditoren können im Audit-Log die Zugangsdaten (Access Key und Secret Key) für den S3 Object Storage (sofern konfiguriert) einsehen. Die Zugangsdaten sind nicht öffentlich einsehbar. | DRACOON Core Service 4.35 | 17.02.2022 | ||
DRACOON Cloud | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.24 | 17.02.2022 | 8.8 |
hoch
|
DRACOON Cloud | Auditoren können im Audit-Log den AES-Schlüssel von Benutzern einsehen, der in der DRACOON Web App zum lokalen Entschlüsseln des Entschlüsselungskennworts des jeweiligen Benutzers verwendet wird. Diese Sicherheitslücke kann nicht verwendet werden, um verschlüsselte Dateien zu entschlüsseln. | DRACOON Core Service 4.33.4 | 19.01.2022 | 4.1 |
niedrig
|
DRACOON Cloud | DRACOON für Outlook für DRACOON Cloud-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 6.9.1 | 17.12.2021 | 7.8 |
mittel
|
DRACOON Server | DRACOON für Outlook für DRACOON Server-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 5.12.4 | 17.12.2021 | 7.8 |
mittel
|
DRACOON Cloud | Auditoren können den AES-Schlüssel, den die DRACOON Web App zum Verschlüsseln der persönlichen Entschlüsselungskennwörter von Benutzern verwendet, im Audit-Log nachvollziehen. Der Schlüssel kann nicht zum Entschlüsseln verschlüsselter Dateien verwendet werden. | DRACOON Core 4.33.4 | 08.12.2021 | 4.1 |
niedrig
|
DRACOON Server | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.26.6 | 06.12.2021 | 5.6 |
mittel
|
DRACOON Cloud | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.33 | 10.11.2021 | 5.6 |
mittel
|
DRACOON Cloud | Eine Reflected-XSS-Schwachstelle erlaubte unter bestimmten Bedingungen bei Verwendung von Firefox zur Ausführung von JavaScript-Code auf der Fehler-Seite der Web App. | DRACOON Web App 5.11 | 10.03.2021 | 8.1 |
hoch
|
DRACOON Cloud | Die Verteilung von File-Keys in verschlüsselten Datenräumen war unter bestimmten Voraussetzungen stark eingeschränkt. | DRACOON Core Service 4.23.5 | 27.01.2021 | 4.4 |
niedrig
|
DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der iOS-App sorgte dafür, dass auch nach dem Ausloggen aus einer DRACOON-Umgebung zuvor bereits gespeicherte Favoriten weiterhin unter "Dateien" in iOS sichtbar waren. | DRACOON für iOS 6.1 DRACOON für iOS 5.14 |
22.10.2020 | 2.2 |
niedrig
|
DRACOON Cloud, DRACOON Server (2019-1) | Die Entwickler-Version der Android-App führte ein veraltetes Software-Paket eines Drittanbieters, welches eine Schwachstelle aufweiste. | DRACOON für Android 5.6.1 | 24.07.2020 | 3.3 |
niedrig
|
DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der Android-App führte dazu, dass der festgelegte Sperr-Code beim Entsperren des Bildschirms nicht abgefragt wurde. | DRACOON für Android 5.6.1 | 24.07.2020 | 6.1 |
mittel
|
DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle auf der OAuth-Anmeldeseite erlaubte die Ausführung von JavaScript-Code über eine Eingabe im Benutzer-Feld. | DRACOON OAuth Service 4.12.4 | 17.07.2020 | 6.8 |
mittel
|
DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Media Server 1.4.2 | 13.07.2020 | nicht bewertet | nicht bewertet |
DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle bei der Verwendung einer spezifischen Adresse, die zum Darstellen von Fehlern verwendet wird, erlaubte die Ausführung von JavaScript-Code. | DRACOON WebUI 4.12.2 | 29.05.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | In seltenen Umständen erhielt ein Benutzer eines Webhooks Informationen zu einem anderen, nicht zusammenhängenden Webhook. | DRACOON Event Web Hook Dispatcher 1.0.2 | 07.05.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Benutzer erhielten unter seltenen Umständen Benachrichtigungen über die Verwendung einer Freigabe, die sie nicht erstellt hatten. | DRACOON Event Email Dispatcher 1.0.1 | 02.04.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON WebDAV Proxy 5.3.1 DRACOON WebDAV Proxy 5.2.2-LTS |
27.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Benachrichtigungen auf Datenräume über neue Dateien wurden in seltenen Fällen ohne Benutzerinteraktion entfernt. | DRACOON Core Service 4.20.3 | 23.04.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON BrandingUI 1.2.1-LTS | 02.04.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Der Media-Token wurde in Webhook-Rückmeldungen für das Event "file.created" übermittelt. | DRACOON Core Service 4.20.0 DRACOON Core Service 4.20 | 30.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON OAuth Service 4.12.2 DRACOON OAuth Service 4.16.1 |
24.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Core Service 4.12.6 DRACOON Core Service 4.19 |
10.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON BrandingUI 1.4.2 | 10.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Branding Service 1.3.1 | 05.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON Web App 5.3 | 05.03.2020 | nicht bewertet | nicht bewertet |
DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" - CVE-2020-1938 | DRACOON S3 CMUR Worker 1.3.0 | 05.03.2020 | nicht bewertet | nicht bewertet |
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.