IT-Security Bulletin

Wir haben eine Schwachstelle des Adapters SAML Calculators identifiziert. Der ‚SAML Calculator“ dient dazu SAML Assertions und Requests zu signieren, zu validieren, zu verschlüsseln und zu entschlüsseln.

Der Adapter überprüft in den Operationen „Decrypt“, „Validate Assertion“ und „Validate Request“ die Signatur von SAML-Tokens zwar auf technischer Ebene, überprüft wird jedoch nicht, ob das zur Signierung verwendete Zertifikat auch tatsächlich von der erwarteten Root-CA ausgestellt wurde. Dadurch besteht das Risiko eines unautorisierten Systemzugriffs, sofern die Autorität des SAML-Tokens nicht anderweitig sichergestellt wird.

Von der Schwachstelle sind alle X4 Systeme betroffen, die den SAML Calculator in diesem Sachverhalt in Verwendung haben. SoftProject stellt Patches für die Versionen 6.3, 7.0, 7.1, 7.2 zur Verfügung. Ab Version 7.3.1 ist die Schwachstelle behoben.

Wenden Sie sich bitte an den Support, um einen Patch für Ihre X4 Version zu erhalten.

Commons Text ist eine häufig eingesetzte Bibliothek des Apache-Projekts für Java-Anwendungen, die zur Verarbeitung von Zeichenketten dient.

Die Versionen 1.5 bis 1.9 sind von der Schwachstelle CVE-2022-42889 (teils auch „Text4Shell“ genannt) betroffen, welche unter bestimmten Bedingungen einem entfernten Angreifer die Ausführung von beliebigem Code (Remote Code Execution, RCE) erlaubt. Weiterhin kann es einem Angreifer möglich sein, von einem angreifbaren System ausgehende Verbindungen zu anderen Systemen auszulösen.

Die X4 BPMS verwendet keine der betroffenen Commons Text Bibliotheken (Version 1.5 – Version 1.9) und ist somit nicht von der Schwachstelle betroffen.

Das BSI meldet mehrere Schwachstellen in Oracle Java SE, die es einem entfernten, anonymen Angreifer ermöglichen, die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.

Diese Schwachstellen betreffen Java-Anwendungen – in der Regel in Clients – auf denen Sandbox Java Web Start Applications oder Sandbox Java Applets ausgeführt werden, die nicht vertrauenswürdigen Code laden und ausführen (z. B. Code, der aus dem Internet stammt) und aus Sicherheitsgründen auf die Java-Sandbox angewiesen sind. Diese Schwachstelle kann auch ausgenutzt werden, indem APIs in der angegebenen Komponente verwendet werden, z. B. durch einen Webservice, der Daten an die APIs liefert.

Da in der X4 BPMS die o.g. Technologien nicht zum Einsatz kommen, ist die X4 BPMS nicht von den Schwachstellen betroffen. Ab der X4 BPMS Version 7.2 aktualisieren wir Java trotzdem auf die aktuelle Version 11.0.16. Laufende X4 BPMS Systeme müssen nicht zwingend aktualisiert werden.

Die X4 BPMS ist hiervon nicht betroffen. Die ausführliche Beschreibung der durchgeführten Schwachstellentests finden Sie unter: Informationen zur Schwachstelle in log4j – SoftProject