Skip to main content

Foto: © kras99 - stock.adobe.com

Sicherheitslücke "Spring4Shell": CURSOR-CRM nicht betroffen

IT-Sicherheitsexperten warnen aktuell vor der neuen Sicherheitslücke CVE-2022-22965 ("Spring4Shell"): Die Lücke im Java-Framework Spring erlaubt Angreifern, Schadcode aus der Ferne auszuführen. CURSOR-CRM ist nach unseren aktuellen Erkenntnissen nicht von der Sicherheitslücke betroffen. Da Spring-Bibliotheken mit CURSOR-CRM ausgeliefert werden, können Security-Scanner allerdings (je nach ihrer Funktionsweise) anzeigen, dass wir betroffen seien.

Hier gilt: CURSOR liefert zwar eine Komponente mit aus, die in der kursierenden Exploit-Kette verwendet wird. Allerdings ist CURSOR-CRM keine Spring Web MVC oder Spring WebFlux Anwendung, sodass kein erfolgreicher Angriff mit Hilfe von CVE-2022-22965 auf CURSOR-CRM möglich ist.

Update: Hotfixes im CURSOR-Supportportal verfügbar

Um unseren Kunden höchstmögliche Sicherheit zu bieten und eventuellen Warnungen bei Sicherheitsprüfungen vorzubeugen, stehen im Supportportal für die folgenden CURSOR-CRM-, EVI-, HelVIS- und TINA-Versionen Hotfixes zum Update der Spring-Bibliotheken bereit:

  • 20.2.17, 20.2.18
  • 21.1.12, 21.1.13
  • 21.2.7, 21.2.8

Für die Version 20.1 wird der Patch 20.1.19 zeitnah zur Verfügung gestellt. In künftigen Patches von 20.2, 21.1 und 21.2 ist das Update der Spring-Bibliotheken automatisch mit enthalten.