/
/
/

  • Sicherheitshinweis

    Information zu kritischer Sicherheitslücke CVE-2025-24813

    Cybersecurity and information or network protection. Future technology web services for business and internet project

Website-Text 

Information zu kritischer Sicherheitslücke CVE-2025-24813 

Apache Tomcat 

 

Langenhagen, 22. August 2025 

 

Konica Minolta wurde auf eine kritische Sicherheitslücke aufmerksam gemacht, die bestimmte Anwendungen und Services betrifft. Ein Exploit ist öffentlich verfügbar, und für einen Angriff ist keine Authentifizierung notwendig, was die Gefahr zusätzlich erhöht. 

Diese Sicherheitslücke in Apache Tomcat, ein Open-Source-Webserver, der auch in einigen unserer Softwarelösungen verwendet wird, ermöglicht es Angreifern, Schadcode einzuschleusen, Dateien zu manipulieren oder vertrauliche Informationen auszulesen. Die Lücke wird bereits aktiv von Cyberkriminellen ausgenutzt. IT-Verantwortlichen wird dringend empfohlen, die bereitgestellten Sicherheitsupdates sofort einzuspielen. 

Wie funktioniert die Lücke? 

Die Schwachstelle betrifft die Verarbeitung sogenannter „partieller PUT“-Anfragen. Aufgrund einer fehlerhaften Behandlung von Dateipfaden mit einem internen Punkt („file.Name“) kann ein Angreifer unter bestimmten Bedingungen Dateien manipulieren, Schadcode einschleusen oder sogar die vollständige Kontrolle über den Server erlangen. 

Welche Bedingungen müssen erfüllt sein? 

Ein Angriff ist nur möglich, wenn mehrere spezifische Konfigurationen gleichzeitig zutreffen: 

  • Schreibrechte für das Standard-Servlet: Diese Funktion ist standardmäßig deaktiviert, muss aber aktiviert sein. 

  • Partielle PUT-Anfragen sind erlaubt: Diese Funktion ist standardmäßig aktiviert. 

  • Sicherheitsrelevante Dateien werden in einem Unterverzeichnis eines öffentlichen Upload-Verzeichnisses gespeichert. 

  • Der Angreifer kennt die Namen der sensiblen Dateien, die hochgeladen werden. 

  • Die sensiblen Dateien werden ebenfalls per „Partial PUT“ hochgeladen. 

Für eine vollständige Übernahme des Servers (Remote Code Execution) müssen zusätzlich folgende Bedingungen erfüllt sein: 

  • Tomcat verwendet dateibasierte Sitzungsverwaltung im Standardverzeichnis. 

  • Die Anwendung enthält eine unsichere Bibliothek, die für Angriffe durch fehlerhafte Datenverarbeitung (Deserialisierung) genutzt werden kann. 

Wer ist betroffen? 

Betroffen sind folgende Tomcat-Versionen: 

  • 9.0.0.M1 bis 9.0.98 

  • 10.1.0-M1 bis 10.1.34 

  • 11.0.0-M1 bis 11.0.2 

 

Welche Konica Minolta Software Lösungen sind betroffen? 

  • YSoft SafeQ 6: Alle Versionen vor Build 106 

  • Sicherheitslücke ist in der Standardkonfiguration aber nicht ausnutzbar! 

  • Tungsten AutoStore: Alle Versionen vor 2025.2.1 

  • Sicherheitslücke ist in der Standardkonfiguration aber nicht ausnutzbar! 

  • Dispatcher Paragon / Suite: Alle Versionen vor Build 106 

  • Sicherheitslücke ist in der Standardkonfiguration aber nicht ausnutzbar! 

 

Was ist zu tun? 

  • YSoft SafeQ 6 / Dispatcher Paragon:  

In der Standardkonfiguration ist die genannte Sicherheitslücke nicht über die SafeQ-/Dispatcher Paragon-Lösung ausnutzbar

Sie können dies eigenständig wie folgt überprüfen, um sicherzustellen, dass keine ausnutzbaren Schreibberechtigungen konfiguriert sind: 


1. YSoft SafeQ: Öffnen Sie den Ordner C:\SafeQ6\Management\tomcat\conf (wenn SafeQ standardmäßig auf Laufwerk C:\ installiert wurde) 

1. Dispatcher Paragon: Öffnen Sie den Ordner C:\DispatcherParagon\Management\tomcat\conf (wenn Paragon standardmäßig auf Laufwerk C:\ installiert wurde) 

2. Öffnen Sie die Datei web.xml 

3. Überprüfen Sie den folgenden Konfigurationsabschnitt (Servlet). Wenn dieser identisch ist, ist die Schwachstelle nicht aktiv. 

Falls im Abschnitt init-param zusätzlich der Eintrag readonly false /readonly vorhanden ist, können Sie diesen entfernen, um die Sicherheitslücke zu schließen.

Hinweis: Wurde die Konfiguration ursprünglich angepasst, um eine vom Standard abweichende Funktion zu ermöglichen, könnte diese nach der Änderung nicht mehr zur Verfügung stehen. 

 

Handlungsoptionen bei abweichender Konfiguration: 

Falls Ihre Installation betroffen ist und eine manuelle Anpassung nicht möglich ist, stehen Ihnen folgende Optionen für ein Update zur Verfügung: 

  

Variante 1: Eigenständiges Update (kostenfrei) 

Sie führen das Update auf das aktuelle YSoft SafeQ /Dispatcher Paragon Build selbstständig durch. 

Wichtiger Hinweis: Bitte stellen Sie sicher, dass eine gültige Maintenance-Lizenz vorliegt. Diese Information finden Sie im SafeQ-/Paragon-Dashboard. 

Sollte der Support für Ihre SafeQ-/Paragon-Lizenz bereits abgelaufen sein, wenden Sie sich bitte an Ihren zuständigen Account Manager. 

Die dazugehörige Anleitung mit allen wichtigen Hinweisen finden Sie in der offiziellen Webdokumentation von YSoft:🔗 Zur Anleitung

Einen Download Link zum aktuellen SafeQ-/Paragon Build: erhalten Sie auf Anfrage. 

 

Variante 2:  Update-Durchführung durch Konica Minolta (ggf. kostenpflichtig, s.u.) 

Alternativ übernehmen wir gerne die Durchführung des SafeQ-/Paragon Updates für Sie. 

Unser technischer Service plant in diesem Fall gemeinsam mit Ihnen die Koordination und die Durchführung des Updates.  

 

  • AutoStore:  

Die Sicherheitslücke betrifft alle AutoStore-Versionen mit installierter DWS-Komponente (Device Web Server). 

Ob Ihre Umgebung betroffen ist, können Sie eigenständig wie folgt überprüfen: 

 

Überprüfung der Tomcat-Version  

Möglichkeit 1: 

  1. Öffnen Sie auf dem AutoStore Server die Seite: https://localhost:8444 

  2. Melden Sie sich mit Ihren Benutzerinformationen an. 

  3. Die aktuell verwendete Tomcat-Version wird auf der Startseite im Abschnitt „Host-Umgebung“ angezeigt.

 

Möglichkeit 2: 

  1. Inhalt der Datei "C:\Program Files\Kofax\Shared Services\DWS\apache-tomcat\RELEASE-NOTES" auf installierte Tomcat Version prüfen. 

 

 

Falls Ihre Installation betroffen ist, stehen Ihnen folgende Optionen zur Verfügung: 

Variante 1 – Eigenständiges Update von Apache Tomcat (kostenfrei) 

Sie haben die Möglichkeit, das Update der Tomcat-Komponente auf Ihrem/Ihren AutoStore Capture Server(n) eigenständig durchzuführen. 

Die dazugehörige Anleitung mit allen wichtigen Hinweisen finden Sie in der offiziellen Webdokumentation von AutoStore:🔗 Zur Anleitung

Wichtige Hinweise: 

  • Installieren Sie bitte die jeweils aktuellste verfügbare Tomcat-Version 

  • Rechnen Sie mit einer ungefähren Downtime von ca. 15 Minuten 

 

Variante 2 – Durchführung des Updates durch Konica Minolta (ggf. kostenpflichtig, s.u.) 

Alternativ übernehmen wir gerne das Update der Tomcat-Komponente für Sie im Rahmen eines kostenpflichtigen Serviceeinsatzes. 

Unser technischer Service wird in diesem Fall gemeinsam mit Ihnen die Planung sowie die Durchführung des Updates abstimmen. 

Gerne unterstützen wir Sie bei der Aktualisierung Ihrer eingesetzten Software. 
Sofern Ihr Vertrag einen entsprechenden Managed Service beinhaltet, erfolgt die Aktualisierung selbstverständlich kostenfrei für Sie. 

Zur Veranlassung der Aktualisierung erstellen Sie bitte eine Servicemeldung über das Konica Minolta Kundenportal. Die hierfür erforderliche Equipmentnummer der betroffenen Software finden Sie in Ihrem Benutzerkonto im Kundenportal. 

Sollten Sie noch kein Benutzerkonto besitzen, können Sie sich schnell und unkompliziert registrieren. Verwenden Sie hierfür die Equipmentnummer eines Ihrer Multifunktionssysteme. Diese Nummer finden Sie auf dem Aufkleber Ihres Geräts. Weitere Informationen zur Sicherheitslücke Tomcat werden wir auf unserer Website nach Verfügbarkeit bereitstellen.  

Für Konica Minolta ist die Sicherheit Ihrer Geräte, Anwendungen und Services von größter Bedeutung.