Sicherheitsbulletin: Zwei CVEs und wie man sicher bleibt

Automatisch übersetzt von Deepl

Möglicherweise sind Sie auf zwei neue CVEs gestoßen, die für 4D gemeldet wurden. Im Folgenden finden Sie die Maßnahmen, die Sie ergreifen müssen, um sicher zu sein.

CVE-2023-30222: Sicherheitslücke bei der Offenlegung von Informationen

Diese CVE bezieht sich auf eine Sicherheitslücke bei der Offenlegung von Informationen in allen 4D Versionen, die es Angreifern ermöglicht, Passwort-Hashes für alle Benutzer durch Abhören abzurufen.

Die entdeckte Schwachstelle besagt, dass die Kommunikation zwischen Client und Server auch dann, wenn sie verschlüsselt ist (Projekteinstellungen), von jedem, der den privaten Schlüssel des Servers besitzt, in klarer Form gelesen werden kann. Das klingt einleuchtend: Der private Schlüssel des Servers sollte geheim bleiben.

Auch wenn 4D zur Vereinfachung der Entwicklung und des Testens ein Standard-Zertifikat und einen Standard-Schlüssel mitliefert, wird in unserer Dokumentation immer dringend empfohlen, diese durch Ihre eigenen zu ersetzen.

Um Ihnen die Aufgabe zu erleichtern, einen solchen privaten Serverschlüssel zu ersetzen, wird er von 4D v20 R4 bei jedem Serverstart automatisch neu generiert. Auf diese Weise hat jede 4D Serverinstanz ihren eigenen – unterschiedlichen – privaten Schlüssel.

CVE-2023-30223: Sicherheitslücke bei der Authentifizierung

Diese CVE beschreibt eine Sicherheitslücke in der Authentifizierung, die es Angreifern erlaubt, manipulierte TCP-Pakete zu senden, die Anfragen zur Durchführung beliebiger Aktionen enthalten.

Solche Injektionen sind nur möglich, wenn der Angreifer in den Besitz des privaten Schlüssels des Servers kommt. Auch hier gilt: Ersetzen Sie die Standard-Server-Schlüssel durch Ihre eigenen, um sicher zu sein.

Um die Sicherheit dieser Anwendungen weiter zu verbessern, bietet 4D einen Bugfix an, der dafür sorgt, dass vor der Authentifizierung nur unbedingt notwendige Anfragen akzeptiert werden. Diese Verbesserung ist besonders wichtig für 4D Anwendungen, die das eingebaute Passwortsystem verwenden. Sie ist ab den folgenden Versionen verfügbar:

  • 4D v19.7 LTS, Build 288986

  • 4D v20.2 LTS, Build 100956

  • 4D v20 R2 HF1, Build 100440

  • 4D v20 R3 und höher

4D Anwendungen, die nicht das integrierte Passwortsystem verwenden, sind von dieser Schwachstelle nicht direkt betroffen, da ihre Sicherheit von ihrer eigenen Implementierung oder externen Verzeichnissen (wie LDAP, Active Directory oder Microsoft 365) abhängt.

Schlussfolgerung

Wir empfehlen Ihnen dringend, Ihren eigenen privaten Server-Schlüssel zu verwenden und diesen geheim zu halten, unabhängig von Ihrer 4D Version.

Wir empfehlen Ihnen außerdem, 4D auf die neueste Version zu aktualisieren und die Empfehlungen in unserem 4D Sicherheitsleitfaden zu beachten .