Sicherheitslücke "Spring4Shell": CURSOR-CRM nicht betroffen
IT-Sicherheitsexperten warnen aktuell vor der neuen Sicherheitslücke CVE-2022-22965 ("Spring4Shell"): Die Lücke im Java-Framework Spring erlaubt Angreifern, Schadcode aus der Ferne auszuführen. CURSOR-CRM ist nach unseren aktuellen Erkenntnissen nicht von der Sicherheitslücke betroffen. Da Spring-Bibliotheken mit CURSOR-CRM ausgeliefert werden, können Security-Scanner allerdings (je nach ihrer Funktionsweise) anzeigen, dass wir betroffen seien.
Hier gilt: CURSOR liefert zwar eine Komponente mit aus, die in der kursierenden Exploit-Kette verwendet wird. Allerdings ist CURSOR-CRM keine Spring Web MVC oder Spring WebFlux Anwendung, sodass kein erfolgreicher Angriff mit Hilfe von CVE-2022-22965 auf CURSOR-CRM möglich ist.
Update: Hotfixes im CURSOR-Supportportal verfügbar
Um unseren Kunden höchstmögliche Sicherheit zu bieten und eventuellen Warnungen bei Sicherheitsprüfungen vorzubeugen, stehen im Supportportal für die folgenden CURSOR-CRM-, EVI-, HelVIS- und TINA-Versionen Hotfixes zum Update der Spring-Bibliotheken bereit:
20.2.17, 20.2.18
21.1.12, 21.1.13
21.2.7, 21.2.8
Für die Version 20.1 wird der Patch 20.1.19 zeitnah zur Verfügung gestellt. In künftigen Patches von 20.2,21.1 und 21.2 ist das Update der Spring-Bibliotheken automatisch mit enthalten.