Sicherheitsupdate S-2022-01
In zwei Modulen der baramundi Management Suite (bMS) wurden bei Security-Tests Sicherheitslücken gefunden.
Diese mit den Sicherheitslücken verbundene Gefährdung der bMS wurde von baramundi insgesamt als hoch bis kritisch eingestuft.
Wir empfehlen Ihnen dringend, das Update einzuspielen.
baramundi Management Agent
Information
Dieses baramundi Agent (bMA) Update schließt eine Sicherheitslücke im bMA, welche unter Umständen eine Remote Code Execution auf Seiten des bMA ermöglicht. Wir haben diese Sicherheitslücke als hoch (CVSS v3 von 8), jedoch nicht kritisch eingestuft.
Das Update erfolgt durch Ausbringen des aktuellen bMA auf alle Clients. Dazu wird der automatische Updatemechanismus des bMA verwendet. Dafür muss die Setupdatei des neuen bMA auf dem bServer und auf dem Primären DIP abgelegt werden. Hier muss der zur bMS Version passende bMA verwendet werden.
Um das Einspielen einfach zu gestalten, haben wir dieses S-2022-01.zip bereitgestellt. Es beinhaltet alle bMA Setupdateien der unterstützten bMS Versionen und legt automatisch die korrekte bMA Version auf dem bServer ab.
Das Tool unterstützt die bMS 2021 R1, bMS 2021 R2, bMS 2022 R1.
Installation
- Das Tool muss auf dem baramundi Management Server ausgeführt werden.
- bServer Dienst anhalten.
- Auf dem bServer System S-2022-01.zip entpacken.
- S-2022-01.exe mit höheren Rechten starten.
- Das Tool prüft, ob eine unterstützte bMS Version installiert ist und bietet in diesem Fall an, die bMA-Setupdatei im bMS-Installationsverzeichnis (...\baramundi\Management Server\Shared\Client\Setup) zu tauschen.
- Wird bei der bMA-Installation der DIP verwendet, so ist der bMA manuell von ...\baramundi\Management Server\Shared\Client\Setup auf den primären DIP in das Verzeichnis ...\dip$\BMS\Client\Setup zu kopieren.
- Danach den bServer Dienst starten.
- Bei der Version 2022 R1 erscheint beim ersten Start der bMC die Meldung "Unbestätigte bMA-Installationsquellen". Da die bMA Installationsdateien ausgetauscht wurden, muss dieser Austausch bestätigen werden.
Neuer Hash: 7d57b26870f7791ec72e3a3ec02cb47a0f37aa782fdeae953d708f3cfd3cb273 - Das Update der baramundi Agenten (bMA) auf den Clients erfolgt automatisch bei der nächsten Jobausführung.
Bitte folgendes beachten: Die "Automatische Aktualisierung" des Management Agenten muss dazu eingeschalten sein. (Zu finden unter bMC-Konfiguration-Server).
Hinweise
- S-2022-01.exe tauscht die Setup-Datei des baramundi Agenten (bMA) auf dem bServer aus.
- Der bMA muss manuell auf dem DIP im Pfad ...dip$\BMS\Client\Setup abgelegt werden.
- Dieses Update funktioniert ausschließlich mit der bMS 2021 R1, bMS 2021 R2 und der bMS 2022 R1.
- Werden die Dateien manuell kopiert und eingespielt, ist auf die korrekte bMA Version zu achten.
- MA Versionen werden nicht unterstützt.
- Bei älteren bMS Versionen wird der zeitnahe Update auf die 2022 R1 und das Einspielen dieses Update empfohlen.
- Ein Update zur kommenden bMS 2022 R2 ist problemlos möglich.
- Ab der 2022 R2 Version ist dieser Update bereits enthalten.
- Clients im Internet Modus werden nicht automatisch aktualisiert. Hier kann das Update wie gewohnt über das, in der bDX Tauschbörse bereitgestellte bDX "bMA-Update für Internet-Clients mittels Job" erfolgen. Die bereitgestellten bDX enthalten jetzt den jeweiligen S1 Agent.
Download
SHA256 Hash: 3c66878ec3e361042b932c8b58cd4251d624b2942f427a92304b3c0d58d4d8a9
Apache Webserver - baramundi DIP
Im Apache Webserver wurden mehrere, teils kritische Sicherheitslücken gemeldet. Die Bewertungen nach CVSS 3.x reichen von Medium (5.3) bis Critical (9.8):
- CVE-2022-31813 (Critical 9.8)
- CVE-2022-28615 (Critical 9.1)
- CVE-2022-29404 (High 7.5)
- CVE-2022-30522 (High 7.5)
- CVE-2022-30556 (High 7.5)
- CVE-2022-26377 (High 7.5)
- CVE-2022-28330 (Medium 5.3)
- CVE-2022-28614 (Medium 5.3)
Der Apache Webserver wird im Modul baraDIP (Version 2022 R1 und Vorgängerversionen) zum Download von Dateien eingesetzt.
Seit 27. September steht der baraDIP in Version 2022 R1 S1 über MSW zur Verfügung, welcher die genannten Schwachstellen behebt.