PDF.js Sicherheitslücke Fabasoft eGov-Suite und Fabasoft Mindbreeze Enterprise

Am 10. Juni 2024 wurde eine kritische Sicherheitslücke in der Drittanbieter-Bibliothek PDF.js entdeckt, die eine beliebige JavaScript-Ausführung ermöglicht. Die Lücke betrifft die Fabasoft eGov-Suite bis einschließlich 2024 Update Rollup 1 und Fabasoft Mindbreeze Enterprise bis einschließlich Version 24.3.0.268. Die Schwachstelle wurde als CVE-2024-4367 identifiziert und hat einen CVSS-Score von 8.5 (hoch).

Ein fehlender Typ-Check beim Umgang mit Schriftarten in PDF.js ermöglicht es, beliebigen JavaScript-Code im Kontext von PDF.js auszuführen. Dies kann zur Ausführung von Schadcode im Webbrowser des Nutzers führen.

Nach erfolgreicher Ausnutzung dieser Schwachstelle kann beliebiger JavaScript-Code im Webbrowser des Nutzers ausgeführt werden, was erhebliche Sicherheitsrisiken birgt.

Fabasoft eGov-Suite:
Die Schwachstelle kann durch die Installation eines von Fabasoft bereitgestellten Hotfixes behoben werden. Die betroffenen Versionen und die entsprechenden Hotfixes sind:

  • eGov-Suite 2020 Update Rollup 5
  • eGov-Suite 2021 Update Rollup 3
  • eGov-Suite 2022 Update Rollup 2 und 3
  • eGov-Suite 2023 September Release und Update Rollups 1, 2, 3
  • eGov-Suite 2024 und April Release
  • eGov-Suite 2024 Update Rollup 1

Die Behebung der Schwachstelle ist in den folgenden und neueren Versionen enthalten:

  • eGov-Suite 2024 Update Rollup 2
  • eGov-Suite 2024 Juni Release

Fabasoft Mindbreeze Enterprise:
Die Schwachstelle kann durch die Installation von Fabasoft Mindbreeze Enterprise Version 24.3.1.271 oder neuer behoben werden. Für ältere Versionen steht eine temporäre Behebung zur Verfügung:

  1. Öffnen Sie die Datei:
  • Linux: /opt/mindbreeze/bin/webapps/client-service/ROOT/apps/scripts/pdfjs-dist/build/pdf.js
  • Windows: C:\Program Files\Mindbreeze\Enterprise Search\Server\webapps\client-service\ROOT\apps\scripts\pdfjs-dist\build\pdf.js
  1. Suchen Sie die Zeile return globalSettings ? globalSettings.isEvalSupported : true; und ersetzen Sie sie durch return false;.
  2. Der Cache wird innerhalb einer Stunde entfernt und der Client wird die gepatchte Datei verwenden, um PDFs zu öffnen.

Es wird dringend empfohlen, die betroffenen Systeme sofort zu aktualisieren, um die Sicherheitslücke zu schließen und potenzielle Angriffe zu verhindern. Bei weiteren Fragen oder Problemen sollte ein Fabasoft Support Ticket eröffnet werden.

Related Posts

Information Disclosure Schwachstelle in Citrix NetScaler Console, Agent und SDX

Citrix hat ein kritisches Sicherheitsbulletin veröffentlicht, das zwei Schwachstellen in NetScaler Console (ehemals NetScaler ADM), NetScaler SDX und NetScaler Agent betrifft. Diese Schwachstellen ermöglichen unter anderem den unautorisierten Zugriff auf sensible Informationen und Denial-of-Service-Angriffe. Die betroffenen Versionen sollten umgehend aktualisiert werden. Die folgenden Versionen sind betroffen:

Read More

Kritisches Sicherheits-Release für GitLab

Am 10.7.24 hat GitLab die Versionen 17.1.2, 17.0.4 und 16.11.6 für die Community Edition (CE) und die Enterprise Edition (EE) veröffentlicht. Diese Versionen enthalten wichtige Fehler- und Sicherheitskorrekturen. Es wird dringend empfohlen, dass alle GitLab-Installationen sofort auf eine dieser Versionen aktualisiert werden. GitLab.com und GitLab Dedicated laufen bereits mit der gepatchten Version.

Read More

Gefährliche Zero Click Sicherheitslücke in Outlook entdeckt

Am 9. Juli 2024 wurde eine kritische Sicherheitslücke (CVE-2024-38021) in Microsoft Outlook bekannt gegeben, die Remote Code Execution (RCE) ermöglicht. Die Schwachstelle wird durch eine unsachgemäße Eingabevalidierung (CWE-20) verursacht und hat eine maximale Schwere von 8.8 (CVSS 3.1).

Read More