[Warning] Weitere kritische Sicherheitslücke in MOVEit Transfer - Workaround und Patches verfügbar
Stephan Richter
richter at cert.at
Fri Jun 16 16:42:59 CEST 2023
16. Juni 2023
Beschreibung
In MOVEit Transfer wurde eine weitere kritische Sicherheitslücke
entdeckt.
Auswirkungen
Da es sich um eine SQL-Injection - Schwachstelle handelt, ist davon
auszugehen dass alle auf betroffenen Systemen hinterlegten Daten
gefährdet sind.
Betroffene Systeme
* Systeme mit MOVEit Transfer
Abhilfe
Progress Software stellt erste "Drop-in DLLs" bereit, mit denen die
Lücke behoben wird.
Als Workaround und bis die Installation dieser DLLs oder kommender
anderer Patches fertiggestellt wurde sollten sämtliche HTTP- und
HTTPS-Verbindungen zu MOVEit Transfer - Installationen durch
vorgeschaltene Firewalls blockiert werden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
ZDNet.de-Artikel zu MOVEit Transfer
https://www.zdnet.de/88409966/weitere-kritische-zero-day-luecke-in-moveit-transfer/
Artikel bei Progress Software zu dieser und weiterer Lücken (englisch)
https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability
MOVEit Transfer Knowledge Base Artikel (englisch)
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
Mit besten Grüßen
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT.at GmbH - https://www.cert.at/
// Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230616/73f94aaa/attachment.sig>
More information about the Warning
mailing list