• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

NSP 13.2 1706 LargeFiles - CVE Sicherheitslücken jQuery UI

raffi

Member
Hallo liebes Forum,

wir haben einen externen Pentest durchführen lassen. 

Dabei kam heraus, dass der NSP Large Files in der aktuellen Version 13.2 1706 eine alte jQuery UI Version kleiner als 1.13.0 nutzt. Es bestehen mehrere moderate Lücken und ein Upgrade auf 1.13.0 oder neuer wird empfohlen.

According to its self-reported version number, jQuery UI is prior to 1.13.0. It is, therefore,
affected by multiple vulnerabilities:
- A Cross-Site Scripting (XSS) in the altField option of the Datepicker widget (CVE-2021-41182)
- A Cross-Site Scripting (XSS) in *Text options of the Datepicker widget (CVE-2021-41183)
- A Cross-Site Scripting (XSS) in the of option of the .position() util (CVE-2021-41184)


Da wir ein ISO27001 zertifiziertes Unternehmen sind, wurde ich angewiesen dieses Problem zu beheben. Im Audit werden diese Probleme aufgearbeitet und alles muss gepatcht sein.

Die schönste Lösung wäre natürliche eine aktuelle Version der Bibliothek mit einem NSP Update auszuliefern und keine veraltete Version davon zu installieren.

Gibt es aktuell eine andere Möglichkeit das zu patchen und oder ggf. die Datei auszutauschen?
Auf dem Server habe ich eine jquery.min.js mit Version 1.12.3 gefunden.
Ich möchte aber nicht einfach daran fummeln und am Ende ein größeres Problem verursachen.

Hat jemand Erfahrungen dazu oder selber bereits diese CVEs gepatcht? 

Vielen Dank  :)
 
Hallo raffi,

wir bereiten aktuell die Auslieferung einer neueren Version vor. Bis dahin könntest du die jQuery Datei manuell ersetzen um die Meldungen zu umgehen.

An dieser Stelle möchte ich aber unbedingt folgendes hinzufügen:
Aktuell kann unseres wissens nach keine der genannten CVEs auf unseren Systemen ausgenutzt werden, weil wir die enstsprechenden Komponenten/Funktionen schlicht weg nicht verwenden.
Falls dir hier ggf. neben den reinen "Scan" Ergebnissen auch konkrete Anwendungfälle vorliegen würden wir uns sehr freuen wenn wir hier etwas tiefer ins Detail gehen können.

Dies soll natürlich nicht als Ausrede dienen, ich möchte nur sicher gehen, dass nichts falsch verstanden wird :)


Gruß
Jan
 
Danke für die Rückmeldung. Dann versuche ich es mal mit dem Austausch der Datei, solange noch kein Update vorliegt.

Viele Grüße
 
Hallo Jan,
wird eine neue Version jQuery inzwischen mit dem Updates ausgeliefert oder muss ich nach wie vor manuell Hand anlegen?


Gruß,
Daniel
 
Zurück
Oben