Per E-Mail für Sie da

Themenbereiche:

Produktinfo Beratung Service und Support Allgemein

Wie möchten Sie kontaktiert werden?

E-Mail Telefon

Ihre Kontaktdaten:

Frau Herr

Bitte beachten Sie unsere Datenschutzbestimmungen.

Firmensitz Deutschland

VISUS Health IT GmbH
Gesundheitscampus-Süd 15
D-44801 Bochum

TEL +49 234 93693-0
FAX +49 234 93693-199

info(at)visus.com
www.visus.com

Anfahrt: Link zur Skizze

Firmensitz Schweiz

VISUS IT Solutions AG
Fraumünsterstrasse 29
CH-8001 Zürich

TEL +41 44 552 24 80
FAX +41 44 552 24 83

info(at)visus.com

VISUS Health IT • 18.03.2020 • News , Intern

Kritische Sicherheitslücke "Ghostcat" im Apache Tomcat

Stetig prüfen die VISUS IT-Sicherheitsbeauftragten ob bekannt gewordene Sicherheitslücken von Fremdanbietern eine Relevanz für den Betrieb von JiveX haben und ob entsprechende Maßnahmen empfohlen beziehungsweise eingeleitet werden sollten.

Konfigurationsanpassung und Aktualisierung des Apache Tomcat Servers

Im Rahmen dieser Prüfungen möchten wir dringend auf eine Sicherheitslücke des „Apache Tomcat Servers“ hinweisen. Die Sicherheitslücke mit dem Namen „Ghostcat“ wird unter der Kennung CVE-2020-1938 geführt. Diese kann unter Umständen Angreifern das Auslesen von Daten innerhalb der Webanwendungen und möglicherweise auch das Ausführen von Schadcode ermöglichen. Eine detaillierte Beschreibung der Sicherheitslücke ist hier zu finden.

Alle webbasierten JiveX Clients die den „Apache Tomcat Server“ als Webserver einsetzen sind von dieser Sicherheitslücke betroffen, wenn das AJP Connect eingeschaltet ist. Eine erhöhte Gefährdung ergibt sich, bei Installationen in der demilitarisierten Zone (DMZ). Wir empfehlen Ihnen folgende Maßnahmen zum Schließen der Sicherheitslücke:

Entweder: Deaktivierung des AJP Connect Ports

Über eine Anpassung der Apache Tomcat Konfiguration, kann der AJP Port deaktiviert werden. Zu diesem Zweck muss in der Konfiguration „[jivexhtml Installationsverzeichnis]\tomcat9\conf\server.xml“ der entsprechende Konfigurationsabschnitt entfernt werden:

Alternativ: Update des Apache Tomcat Servers

Ab JiveX 5.1.0 können Apache Tomcat Updates selbständig durchgeführt werden. Dabei ist zu beachten, dass alle Apache Tomcat Versionen bis 9.0 inklusive Patchlevel im Zusammenspiel mit allen webbasierten Clients getestet und zur Nutzung freigegeben sind. Mit der aktuellen Apache Tomcat Version 9.0.31 ist die beschriebene Sicherheitslücke geschlossen.

Die JiveX-Majorversion 5.2.0, die seit dem 16.03.2020 verfügbar ist, installiert automatisch Apache Tomcat in der Version 9.0.31. Bitte prüfen Sie, ob Sie von dieser Sicherheitslücke betroffen sind. Unser Support unterstützt Sie dabei gerne.

Interessieren Sie sich für ein Update auf die neue Version 5.2.0?

Dann freuen wir uns auf Ihre Kontaktaufnahme mit unserem Update-Service.