Kritische Sicherheitslücke in One Identity Manager (CVE-2024-56404)

In der Software One Identity Manager wurde eine Sicherheitslücke vom Typ Insecure Direct Object Reference (IDOR) identifiziert. Diese Schwachstelle ermöglicht es unter bestimmten Konfigurationen, dass Angreifer unautorisierten Zugriff erhalten und Privilegien eskalieren können. Die Schwachstelle wurde unter der Kennung CVE-2024-56404 gemeldet und betrifft ausschließlich On-Premise-Installationen. Kunden der Identity Manager On Demand-Editionen, einschließlich Starling Edition, sind nicht betroffen.Die Schwachstelle betrifft alle Versionen von 9.0.x bis 9.2.1. Kunden, die diese Versionen verwenden, sind gefährdet und sollten umgehend Maßnahmen ergreifen.

Anwender sollten die Hotfixes gemäß den Anweisungen in der Knowledge Base KB 4378024 installieren. Die Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar, da sie eine Privilegieneskalation ermöglichen kann. Kunden mit On-Premise-Installationen sollten die Hotfixes schnellstmöglich einspielen oder auf Version 9.3 aktualisieren, um die Sicherheit ihrer Systeme zu gewährleisten.

Related Posts

Update zum Hacker Angriff auf D-Trust: White-Hat-Hacker verantwortlich

Am 16. Januar 2025 wurde die D-Trust GmbH, eine Tochter der Bundesdruckerei, auf einen Cyberangriff auf ihr Antragsportal für Signatur- und Siegelkarten aufmerksam. Wie nun bekannt wurde, handelt es sich dabei offenbar um einen Zugriff durch einen anonymen Sicherheitsforscher und nicht um eine kriminelle Handlung. Linus Neumann vom Chaos Computer Club (CCC) informierte D-Trust darüber in einer E-Mail.

Read More

BSI zertifiziert erste SmartCard mit Post-Quanten-Kryptografie

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals eine SmartCard zertifiziert, die einen Post-Quanten-Kryptografischen (PQC) Algorithmus implementiert. Die Zertifizierung gemäß den Common Criteria (ISO/IEC 15408) wurde der Infineon Technologies AG für die Integration des Algorithmus ML-KEM auf einer SmartCard erteilt – ein weltweiter Meilenstein in der IT-Sicherheit.

Read More

Hackerangriff auf D-Trust vor Start der elektronischen Patientenakte

Laut einem Bericht der Pharmazeutischen Zeitung wurde der Vertrauensdienstleister D-Trust zwei Tage vor dem Start der Testphase (15.1.2025) der elektronischen Patientenakte (EPA) zum Ziel eines Hackerangriffs. D-Trust, ein Tochterunternehmen der Bundesdruckerei, bestätigte, dass das Antragsportal für Signatur- und Siegelkarten betroffen war. Dabei könnten personenbezogene Daten entwendet worden sein, wobei ausgegebene Karten und sicherheitsrelevante Daten wie PINs und Passwörter nicht kompromittiert wurden. Die Telematikinfrastruktur (TI) sei laut der Gematik nicht gefährdet.

Read More