Information zu kritischer Sicherheitsschwachstelle

Spring4Shell

 

Langenhagen, 04. April 2022

Konica Minolta wurde auf eine kritische Sicherheitslücke mit der höchsten Risikoeinstufung aufmerksam gemacht, die bestimmte Anwendungen und Services betrifft.

Bei der Bedrohung handelt es sich um eine Sicherheitslücke bei der Remotecodeausführung (CVE-2022-22965) Spring4Shell im Spring Core Framework, die Ende März 2022 entdeckt und bestätigt wurde. Spring Framework ist ein Open-Source-Anwendungsframework, das für die Entwicklung von Java-basierten Anwendungen verwendet wird und im Wesentlichen darauf abzielt, Entwicklern zu helfen, Anwendungen schneller zu erstellen. Wenn diese Schwachstelle ausgenutzt wird, kann sie Angriffe mit Remote-Code-Ausführung (RCE) ermöglichen. 

Wir prüfen derzeit, welche Versionen von welchen angebotenen Anwendungen und eingesetzten Technologien betroffen sein können und wie die Schwachstelle gegebenenfalls behoben werden kann.

Für folgende Anwendungen existieren bereits Workarounds:

-    YSoft SafeQ6
-    Dispatcher Paragon
-    VMware


YSoft SafeQ 6 / Dispatcher Paragon 


Endbenutzer-Schnittstelle (EUI)

  • Schwachstelle: Hat eine anfällige Bibliothek, die Valve Access Logger verwendet, die wahrscheinlich durch einen öffentlichen Exploit ausgenutzt werden kann (spring-beans Version 4.x)
  • Risikominderung: Wir empfehlen, den EUI-Dienst (End User Interface, Endbenutzerschnittstelle) zu beenden und zu deaktivieren. Wenn dies nicht möglich ist, deaktivieren Sie den Valve Access Logger. Unten angefügt finden Sie die entsprechende Anleitung hierzu.
  • Allgemeiner Hinweis zum EUI: Das EUI ist ein Zusatzmodul, welches gesondert aufgerufen werden kann. Es dient zur Ansicht der Druckaufträge, zum Hochladen von Mobile Print Jobs sowie zum Aufladen des Payment Accounts des angemeldeten Benutzers. Hierbei handelt es sich nicht um das bekannte YSoft SafeQ Web Interface.


YSoft Payment System (YPS) 

  • Schwachstelle: Hat eine anfällige Bibliothek, die Valve Access Logger verwendet, die wahrscheinlich durch einen öffentlichen Exploit ausgenutzt werden kann (spring-beans Version 4.x)
  • Mitigation: Deaktivieren Sie den Valve Access Logger. Unten angefügt finden Sie die entsprechende Anleitung hierzu.


YPS Plugins

  • Schwachstelle: Hat eine anfällige Bibliothek mit Valve Access Logger, die wahrscheinlich durch einen öffentlichen Exploit ausgenutzt werden kann (spring-beans Version 4.x)
  • Risikominderung: Deaktivieren Sie den Valve Access Logger. Unten angefügt finden Sie die entsprechende Anleitung hierzu.

IMS

  • Hat eine anfällige Bibliothek, aber der öffentliche Exploit funktioniert nicht (kein Valve Access Logger) (spring-beans Version 4.x)

 


Anleitung


EUI - Deaktivieren Sie den Dienst oder deaktivieren Sie den Logger

Wir empfehlen, den EUI-Dienst (End User Interface, Endbenutzerschnittstelle) zu beenden und zu deaktivieren. Wenn dies nicht möglich ist, deaktivieren Sie den Valve Access Logger.
Um den Valve Access Logger zu deaktivieren, aktualisieren Sie die folgende Zeile unter <SafeQ Home>\SPOC\EUI\conf\server.xml :

Originalzeile vom Server.xml
<Valve className= "org.apache.catalina.valves.AccessLogValve"  directory= "logs" prefix= "localhost_access_log" suffix= ".txt" pattern= "%h %l %u %t " %r " %s %b" />

Beispiel:

Entschärfte Zeile vom Server.xml

<!--
<Valve className= "org.apache.catalina.valves.AccessLogValve"  directory= "logs" prefix= "localhost_access_log" suffix= ".txt" pattern= "%h %l %u %t " %r " %s %b" />
-->
Starten Sie den Endbenutzer-Schnittstellendienst (End User Interface Service) neu, um die Änderung zu übernehmen.
 

YPS und YPS Plugins – Logger deaktivieren

Um den Valve Access Logger zu deaktivieren, aktualisieren Sie die folgende Zeile unter <SafeQ Home>\YPS\conf\server.xml :

Originalzeile vom Server.xml

<Valve className= "org.apache.catalina.valves.AccessLogValve"  directory= "logs" prefix= "localhost_access_log" suffix= ".txt" pattern= "%h %l %u %t " %r " %s %b" />

Beispiel:

Entschärfte Zeile vom Server.xml

<!--
<Valve className= "org.apache.catalina.valves.AccessLogValve"  directory= "logs" prefix= "localhost_access_log" suffix= ".txt" pattern= "%h %l %u %t " %r " %s %b" />
-->
Starten Sie den Y Soft Payment System-Dienst neu, um die Änderung zu übernehmen.
 


IMS – Deaktivieren Sie den Dienst

Wir empfehlen, den IMS-Dienst - YSoft SafeQ Infrastructure Service des SafeQ Management Servers sowie den YSoft SafeQ Infrastructure Service Proxy des SafeQ Site Servers zu beenden und zu deaktiveren.
Um das Risiko so gering wie möglich zu halten, starten Sie bitte diesen Dienst nur, wenn dieser benötigt wird und nur für die dafür relevante Zeitspanne (z.B. für das Firmware-Update eines externen Hardware-Terminals).

 

d.velop documents Komponente d.3 server

d.velop hat eine potenzielle Sicherheitslücke in einer Komponente von d.velop documents identifiziert. 
DV-SEC-2022-02: Schwachstelle in der d.velop documents Komponente d.3 server
• Schweregrad: kritisch
• Betroffene Produkte: d.velop documents (d.3ecm) on premises
• Handlungsempfehlungen und regelmäßig aktualisierte Informationen finden Sie unter https://portal.d-velop.de/security/de/dv-sec-2022-02-schwachstelle-in-der-d-velop-documents-komponente-d-3-server 
 
Wichtig: Bitte stellen Sie grundsätzlich sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.
Überprüfen Sie daher regelmäßig im d.velop service portal, ob für die von Ihnen eingesetzten Versio¬nen und Komponenten Hotfixes oder Updates vorliegen.
  
Für Fragen stehen wir Ihnen gerne unter der E-Mail ecm-support@konicaminolta.de zur Verfügung und nehmen dann umgehend mit Ihnen Kontakt auf.

 

ELO ECM Suite

Derzeit sind von der ECM Suite 12 bis zur 21 folgende Module betroffen:
-    ELO Interface for Microsoft Office Online (ELOimO)
-    ELO Rest Service
-    ELO Smart Input (ELOsi)

Auf Kunden, die die genannten Modulen installiert haben, werden wir proaktiv zugehen und diese Module entsprechend aktualisieren.
Wichtig: Bitte stellen Sie grundsätzlich sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.

Für Fragen und Rückmeldungen zu diesem Sachverhalt stehen wir Ihnen gerne unter der E-Mail support.ecm@konicaminolta.de zur Verfügung und nehmen dann schnellstmöglich mit Ihnen Kontakt auf.

Bitte informieren Sie auch Ihren Systemadministrator über diesen Sachverhalt.



Für Konica Minolta ist die Sicherheit Ihrer Geräte, Anwendungen und Services von größter Bedeutung.  Wir arbeiten mit höchster Priorität und Geschwindigkeit an der Lösung des Problems und werden regelmäßige Updates auf unserer Website bereitstellen.

Mit freundlichen Grüßen,

Joerg Hartmann  
Geschäftsführer Konica Minolta Deutschland & Österreich


Florian Goldenstein
CISO Konica Minolta Deutschland