Sicherheitsupdate S-2024-01
In zwei Komponenten der baramundi Management Suite (bMS) wurden bei Security-Tests Sicherheitslücken gefunden.
Die mit den Sicherheitslücken verbundene Gefährdung der bMS wird von baramundi insgesamt als hoch bis kritisch eingestuft.
Wir empfehlen Ihnen deshalb dringend, das Update einzuspielen
baramundi Management Agent
Das Update für den baramundi Management Agent (bMA) schließt eine Sicherheitslücke im bMA (CVE-2024-6689), welche unter Umständen eine lokale Rechteausweitung ermöglicht. Wir stufen diese Sicherheitslücke als hoch (CVSS v3.1 von 7.8), jedoch nicht kritisch ein.
Das Update erfolgt durch Ausbringen des aktuellen bMA auf alle Clients. Dazu wird der automatische Updatemechanismus für den bMA verwendet. Damit dieser die neuste Version verwendet, muss die Setupdatei des neuen bMA auf dem baramundi Management Server (bServer) und auf dem primären DIP abgelegt werden. Es muss der zur bMS-Version passende bMA verwendet werden.
baramundi Management Server
Das Update für den baramundi Management Server (bServer) schließt eine Sicherheitslücke im Server, welche unter Umständen die Ablage von beliebigen Dateien sowie die Ausführung von beliebigem Code auf Seiten des Servers ermöglicht. Wir stufen diese Sicherheitslücke als kritisch (CVSS v3.1 von 9.0) ein.
Das Update erfolgt durch den Austausch der betroffenen Datei (bServer.exe).
Um das Einspielen einfach zu gestalten, haben wir ein FixIt-Tool (S-2024-01.zip) bereitgestellt. Es beinhaltet alle bMA-Setupdateien und bServer-Dateien der unterstützten Versionen und legt automatisch die korrekten Versionen auf dem baramundi Server ab.
Der Fix steht für die folgenden Versionen bereit:
- baramundi Management Suite 2022
- baramundi Management Suite 2022 R2
- baramundi Management Suite 2023
- baramundi Management Suite 2023 R2
Die aktualisierten Dateien und Agenten haben die folgenden Versionsnummern:
- baramundi Management Suite 2022: 22.1.485
- baramundi Management Suite 2022 R2: 22.2.283
- baramundi Management Suite 2023: 23.1.248
- baramundi Management Suite 2023 R2: 23.2.215