GX Support
Nederlands English (US)

Artikelen in deze sectie

Zie meer

CVE-2024-25710

Avatar
Remco de Waard
  • Bijgewerkt
Volgen

Laatste nieuws (13:46)

  • De basisinstallatie van XC omvat niet de kwetsbare plug-in in de standaard implementatie (update van 16:03)

Achtergrond

GX gebruikt een zogenaamde 'build pipeline, om gestructureerd en consistent software te bouwen, testen en implementeren. Dat proces begint met het nemen van de broncode van de software en doorloopt verschillende stappen, zoals compileren en testen. In dit geval is er een probleem ontdekt tijdens dit proces dat wordt uitgevoerd als onderdeel van de build pipeline. Hierin is een beveiligingscontrole opgenomen. Dit betekent dat er mogelijk een beveiligingsprobleem is geïdentificeerd. Dat noemen we een kwetsbaarheid.

Impact

Op het moment dat deze kwetsbaarheid misbruikt wordt, is het gevolg dat de webserver vastloopt. Er worden geen gegevens gelekt en er is geen toegang tot de applicatie. Wel krijgt een bezoeker (of beheerder) foutpagina's te zien en is de website dus onbereikbaar. Een herstart van de webserver verhelpt het probleem vermoedelijk (*), totdat een kwaadwillende opnieuw een aanval uitvoert.

(*) de precieze impact wordt nog onderzocht door NIST (National Institute of Standards and Technology). Dit is een agentschap van de Amerikaanse overheid en zij stellen normen, richtlijnen en aanbevelingen vast voor verschillende aspecten van technologie, waaronder cybersecurity.

Technische details

Er is een probleem ontdekt in de Apache Commons Compress-library, waardoor er mogelijk een oneindige lus kan ontstaan op het systeem. Dit kan misbruikt worden om een Denial of Service-aanval uit te voeren, waardoor de server geen andere verzoeken meer kan verwerken. Deze kwestie treft Apache Commons Compress-versies 1.3 tot en met 1.25.0. Er wordt aangeraden om te upgraden naar versie 1.26.0, waarin dit probleem is verholpen.

Wat is Apache Commons Compress?

Apache Commons Compress is een Java-bibliotheek waarmee ontwikkelaars bestanden kunnen comprimeren, decomprimeren en archiveren. Het maakt het eenvoudiger om met verschillende compressieformaten te werken binnen Java-toepassingen, zoals ZIP en TAR, zonder dat ontwikkelaars zelf complexe compressie-algoritmen hoeven te implementeren.

-Tijdlijn-

22 februari 09:29 - eerste melding

GX Product Development meldt dat uit onze eigen geautomatiseerde security checks (build pipeline) melding maakt van CVE-2024-25710. Het gaat om een kwetsbaarheid in Apache Commons Compress, tussen versie 1.3 -> 1.25.0. We onderzoeken de impact van de melding en of deze gevolgen heeft voor XperienCentral. 

09:33

Start van dit artikel, door Customer Services. Verwacht regelmatige updates gedurende deze dag.

09:44 - tegensprekende bronnen

Er zijn twee bronnen die elkaar tegenspreken. Mitre.org zegt 1.3 t/m 1.25 (bron), NIST zegt 1.21 t/m 1.26 (bron). Mitre.org en NIST 

  • Mitre.org is een non-profit die complexe problemen aanpakt met technologie. Ze beheren o.a. de CVE-database voor bekende softwarekwetsbaarheden.
  • NIST (National Institute of Standards and Technology). is een agentschap van de Amerikaanse overheid en ze stellen normen, richtlijnen en aanbevelingen vast voor verschillende aspecten van technologie, waaronder cybersecurity.

09:56

Technische details aan deze pagina toegevoegd, achtergrond herschreven.

10:33

Op dit moment voert NIST nog een analyse uit, waardoor het nog niet duidelijk is welke risico's deze CVE met zich meebrengt en hoe deze kan worden misbruikt.

10:40 - kwetsbare XC releases

De kwetsbaarheid is aanwezig vanaf R25 t/m 10.42 en bevindt zich in de Connector API van XperienCentral. Deze API gebruikt Apache Commons Compress. Verwacht hiervoor binnenkort een patch.

10:48

De architecten van GX controleren welke organisaties de API gebruiken waar Apache Commons Compress in gebruik is en of die kwetsbaar is of niet. Het reproductiepad van dit issue is nog onbekend.

11:52 - locatie kwetsbaarheid

De kwetsbaarheid is tot op heden enkel gevonden in de Connector API. 

13:22

Het lijkt erop dat de betreffende library niet rechtstreeks in XC zit, wat erop wijst dat de melding uit onze build pipline waarschijnlijk een false-positive is. We hebben echter vastgesteld dat de bibliotheek wél aanwezig is in de Connector API, waarvoor inmiddels een patch is ontwikkeld -en getest- met de nieuwste versie van de API.

13:31 - beperkt risico

In de aanstaande release van XC (R43) is de Connector API gepatcht. Hoewel we nauwelijks risico (*) zien in ongepatchte versies (omdat de kwetsbaarheid niet van buiten XC toegankelijk is), nemen we toch extra veiligheidsmaatregelen. Daarom voorzien we toekomstige releases van een aangepaste Connector API om de kwetsbaarheid maximaal te verhelpen. Heb je na het doornemen van deze pagina toch behoefte is aan een patch, dan begrijpen we dat. Neem in dat geval contact op met je architect, accountmanager, scrumteam of Customer Services. Elk van onze mensen kan naar de patch toeleiden.

(*) In theorie bestaat er een kleine kans op misbruik, namelijk wanneer een persoon -met voldoende rechten- een corrupt zip-bestand uploadt in XC. Deze upload moet echter plaatsvinden op een installatie waarin de kwetsbaarheid al aanwezig is (voorwaarde 1) én waar een kwaadwillige gebruikt toegang heeft tot de installatie (voorwaarde 2). Als iemand al over al deze rechten beschikt, is het terecht om je af te vragen of het uploaden van een ZIP-bestand de meest logische stap is voor kwaadwillige doeleinden. Zodra iemand deze rechten heeft, zijn er ernstiger acties te ondernemen dan het uploaden van een ZIP-bestand.

16:03 - conclusie

De basisinstallatie van XC omvat niet de kwetsbare plug-in in de standaard implementatie. Dit geldt voor voor R25 t/m R41. Hoewel er tijdens het bouwproces van XC plug-ins worden gebruikt die mogelijk een kwetsbare versie bevatten, worden deze niet op een server geplaatst en zijn daarom niet van belang. Echter, de Connector API bevat wel een kwetsbare versie die daadwerkelijk binnen een XC-installatie wordt geïntegreerd. Daarvoor is nu een patch beschikbaar.

De kwetsbare code is slechts beperkt toegankelijk en bevindt zich bovendien achter de inlog van de redactieomgeving van XperienCentral. Op dit moment is het nog niet duidelijk hoe de kwetsbaarheid precies kan worden misbruikt. Wat wel al met zekerheid te stellen valt, is dat toegang tot XperienCentral vereist is, met name tot de Importeer Content functionaliteit.

Verwante artikelen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.