Bezpečnostní aktualizace pro IceWarp EPOS

IceWarp vydal novou bezpečnostní aktualizaci za účelem odstranění dvou zranitelností se střední závažností, které byly nalezeny během našich pravidelných bezpečnostních auditů. Jedna z nich umožnila útok typu cross-site scripting, zatímco druhá umožnila neoprávněné čtení libovolných souborů ze zdrojového systému. Obě zranitelnosti se týkají rozhraní WebClient.

Důrazně doporučujeme aktualizovat vaši instanci IceWarp co nejdříve na následující verze:

• IceWarp Epos Update 2: Aktualizujte na verzi 14.2.0.12 nebo novější.

• IceWarp Epos Update 1: Aktualizujte na verzi 14.1.0.20 nebo novější.

Podle našich informací nebyl dosud žádný zákazník zranitelností zasažen; přesto důrazně doporučujeme používat nejnovější verze.

Pokud máte jakýkoli důvod provést downgrade vaší instance IceWarp, postupujte podle těchto pokynů:

• Jak downgradovat z aktuální verze na předchozí hlavní verzi

Pokud aktualizaci provádíte sami, nezapomeňte zálohovat celý server a aktualizovat verze postupně, jak je popsáno v našich článcích:

• Upgrade na EPOS z předchozích verzí na Linuxu

• Upgrade na EPOS z předchozích verzí na Windows

Pokud s instalací potřebujete poradit, náš tým podpory je připraven vás procesem provést. Neváhejte nás kontaktovat.

VERZE KE STAŽENÍ

• EPOS Update 2 (14.2.0.12) pro RHEL9, RHEL8 a Windows + remote admin konzole

• EPOS Update 1 (14.1.0.20) pro RHEL9, RHEL8, RHEL7 a Windows + remote admin konzole

ČASTO KLADENÉ OTÁZKY (FAQ)

• Co se stalo?
  V rámci našeho rutinního penetračního testování jsme obdrželi zprávu upozorňující na zranitelnosti se střední závažností. Jedna ze zranitelností by mohla útočníkovi umožnit provést útok typu cross-site scripting, zatímco jiná zranitelnost může umožnit neoprávněné čtení libovolných souborů ze zdrojového systému.

• Koho se to týkalo?
  Mohou být dotčeny jak Cloud, tak On-premises instance; nicméně nedošlo k žádnému skutečnému incidentu. Oprava již byla nasazena v Cloud prostředí a On-premises verze je k dispozici ke stažení výše.

• Které verze IceWarp jsou dotčeny?
  Problém se týká verzí 14.1.0 a pravděpodobně i starších, včetně nejnovější verze.

• Týká se zranitelnost Windows nebo Linuxu?
  Zranitelnost se týká obou operačních systémů.

• Byl zaznamenán nějaký případ?
  Ne, bezpečnost našich klientů nebyla narušena.

• Jaká nápravná opatření byla přijata?
  Byla připravena bezpečnostní záplata a distribuována našim partnerům a zákazníkům spolu s instalačními pokyny pro novou verzi (On-premises). V případě Cloud prostředí byla tato aktualizace již implementována napříč všemi instancemi.

• Jak bude záplata distribuována?
  Záplata bude distribuována prostřednictvím odkazu na KB článek přiloženého v e-mailu; příjemci nebudou muset vyhledávat žádné další soubory ani informace. Veškeré potřebné instalační pokyny a doplňující informace budou uvedeny v KB článku.

• Jak plánujete těmto incidentům předcházet do budoucna?
  Takovým incidentům nelze zcela zabránit; budeme však i nadále provádět pravidelné bezpečnostní audity a zavádět častější aktualizace a záplaty s cílem proaktivně řešit potenciální zranitelnosti.